本發明涉及一種基于時間屬性的數字取證分析鑒別方法，屬于信息安全領域。首先，提取電子數據并解析文件元數據包含的時間戳信息。然后，根據常見操作對文件時間戳的影響規則對文件進行基礎性判斷。再然后，進一步地基于$LogFile判斷$MFT時間創建記錄是否有被篡改的可能。接著，基于$USNjrnl判斷$MFT時間修改記錄是否被篡改的可能。其次，基于Prefetch files記錄的時間戳判斷是否有時間偽造工具使用痕跡。最后，基于Link files記錄的時間戳判斷$MFT時間是否被篡改。本發明有助于案件中對單一證據的不確定性進行真實性鑒別，提高取證分析結果的可信性。

技術領域

本發明屬于信息安全領域，涉及一種基于時間屬性的數字取證分析鑒別方法。

背景技術

取證調查人員在調查過程中特別依賴于元數據，如時間戳。反取證技術和工具也越來越多地被用來規避數字取證的調查，比如針對時間戳的篡改。時間篡改是有意地更改硬盤驅動器、U盤、閃存卡或其他存儲設備文件系統中文件或目錄的創建、修改或訪問的時間戳。由于時間戳對于安全事件重建和時間線創建都至關重要，因此從電子存儲介質中提取的時間戳的真實性和可靠性對取證調查至關重要。由于它們的重要性，以及使用當前的開放源碼工具更改時間戳相對容易的事實，這一證據的可靠性在法庭上可能會受到質疑。而另一方面，檢測時間戳操作也不是那么簡單的，存在著極大的不確定性。因此，進行鑒別電子數據時間屬性的研究對于數字取證調查、維護網絡治安具有積極的社會意義。

目前針對檢測時間戳操縱技術的方法研究有限。時間戳操縱技術是修改時間戳值以使文件具有欺騙性的虛假表示。時間戳是反映文件最后一次修改、最后一次訪問、創建或寫入時間的元數據。這些在NTFS文件系統中被稱為MACE值。對這些元數據的更改可能會在分析取證證據時造成意外的混淆和時間線的丟失。僅通過分析$MFT中的值是無法檢測時間戳操縱的，需要更強大的方法。除了分析$MFT，在Windows上，檢查人員還可以使用哪些工件來識別NTFS中的時間戳操縱是需要進一步深入研究的。

發明內容

有鑒于此，本發明的目的在于提供一種基于時間屬性的數字取證分析鑒別方法。

為達到上述目的，本發明提供如下技術方案：

一種基于時間屬性的數字取證分析鑒別方法，該方法包括以下步驟：

S1：提取相關時間信息；包括獲取電子數據，并解析文件元數據包含的時間戳信息；同時，收集并驗證承載該電子數據的電子設備的系統時間信息；

S2：分析文件時間信息；文件元數據中記錄的$SI和$FN中的八個時間戳都小于或等于$MFT記錄修改時間，并且時間戳在用戶在線的系統時間范圍內；若不符合當前規則，則該文件時間戳信息不可信；

S3：文件時間基礎性判斷；根據不同操作行為和方式對文件時間的影響規則，對文件時間信息進行可信性檢查，判斷文件元數據中記錄的$SI和$FN中的八個時間戳是否符合規則；若不符合當前規則，則該文件時間戳信息不可信；

S4：基于$LogFile判斷$MFT時間創建記錄是否被篡改；根據$LogFile中所記載的日志序列號LSN判斷文件創建時間是否符合條件；若不符合當前規則，則該文件時間戳信息不可信；

S5：基于$USNjrnl判斷$MFT時間修改記錄是否被篡改；根據$USNjrnl中所記載的屬性BASIC_INFO_CHANGE信息判斷文件元數據更改時間是否符合條件；若不符合當前規則，則該文件時間戳信息不可信；

S6：基于Prefetch files記錄的時間戳判斷$MFT時間是否被篡改；根據Prefetchfiles記錄的時間篡改軟件運行的時間記錄是否滿足條件；若不符合當前規則，則該文件時間戳信息不可信；