1.一種基于時間屬性的數字取證分析鑒別方法，其特征在于：該方法包括以下步驟：

S1：提取相關時間信息；包括獲取電子數據，并解析文件元數據包含的時間戳信息；同時，收集并驗證承載該電子數據的電子設備的系統時間信息；

S2：分析文件時間信息；文件元數據中記錄的$SI和$FN中的八個時間戳都小于或等于$MFT記錄修改時間，并且時間戳在用戶在線的系統時間范圍內；若不符合當前規則，則該文件時間戳信息不可信；

S3：文件時間基礎性判斷；根據不同操作行為和方式對文件時間的影響規則，對文件時間信息進行可信性檢查，判斷文件元數據中記錄的$SI和$FN中的八個時間戳是否符合規則；若不符合當前規則，則該文件時間戳信息不可信；

S4：基于$LogFile判斷$MFT時間創建記錄是否被篡改；根據$LogFile中所記載的日志序列號LSN判斷文件創建時間是否符合條件；若不符合當前規則，則該文件時間戳信息不可信；

S5：基于$USNjrnl判斷$MFT時間修改記錄是否被篡改；根據$USNjrnl中所記載的屬性BASIC_INFO_CHANGE信息判斷文件元數據更改時間是否符合條件；若不符合當前規則，則該文件時間戳信息不可信；

S6：基于Prefetch files記錄的時間戳判斷$MFT時間是否被篡改；根據Prefetchfiles記錄的時間篡改軟件運行的時間記錄是否滿足條件；若不符合當前規則，則該文件時間戳信息不可信；

S7：基于Link files記錄的時間戳判斷$MFT時間是否被篡改；根據Link files記錄的文件時間是否與當前證據的文件時間是否符合條件；若不符合當前規則，則該文件時間戳信息不可信；

所述S1中，與電子數據時間屬性相關的信息包括：系統時間和文件時間；

系統時間是指以格林威治時間為基準的世界標準時間，即Windows event logs中記錄的用戶登錄在線的系統時間；

文件時間是指操作系統記錄的文件元數據$MFT中的時間屬性，該時間屬性記錄為$STANDARD_INFORMATION屬性，記為$SI，和$FILE_NAME屬性，記為$FN，具體為文件修改時間m-time、文件訪問時間a-time、文件創建時間c-time、$MFT記錄修改時間e-time，即MACE時間；一共兩個屬性共計八個時間戳信息；

使用“屬性-時間類別”表示相應的時間戳。