Gibt es eine Möglichkeit / ein Werkzeug, um Datum und Uhrzeit zu bestimmen, wann eine Disc mit hoher Sicherheit beschrieben / gebrannt wurde? Es geht um Datenforensik und sollte ein solider Beweis sein. Ich habe IsoBuster bereits ausprobiert, aber es zeigte mir nicht das Datum / die Uhrzeit, an dem / der der Track geschrieben wurde.
13
Antworten:
Die meisten optischen Datenträger verwenden den ISO 9660- Dateisystemstandard Volume und Dateistruktur der CD-ROM für den Informationsaustausch , die Universal Disk Format Specification oder beides (als UDF-Bridge bezeichnet ).
Um herauszufinden, was Sie ausführen können
unter Linux, nachdem die Disc gemountet wurde, um die Gerätedatei des optischen Laufwerks zu identifizieren.
Beispielausgabe:
Hier ist die Gerätedatei
/dev/sr0
. Der Befehlzeigt die verfügbaren Dateisysteme an. Wenn beide vorhanden sind, sollte die Analyse der ISO 9660 einfacher sein.
ISO 9660
Der Standard gibt das Feld Erstellungsdatum und -zeit des Volumes als numerische Darstellung des Erstellungszeitpunkts des Volumes an, der im 814. bis 830. Byte des primären Volume-Deskriptors in folgendem Format geschrieben wird:
Dabei sind CC Zentisekunden und O der Versatz von GMT in Intervallen von 15 Minuten, gespeichert als 8-Bit-Ganzzahl ( Zweierkomplementdarstellung ).
Die ersten 32 KiB (32.768 Bytes) der Disc werden von ISO 9660 nicht verwendet, und der obige Deskriptor folgt unmittelbar auf den nicht verwendeten Block. Wir sind also an dem 33.582. Byte und den folgenden 16 interessiert.
Diese Informationen können von jedem Tool analysiert werden, das die Rohdaten auf der optischen Disc speichern / lesen kann. Unter Linux können Sie dd verwenden , um den relevanten Teil des Images zu sichern, und hexdump, um das letzte Byte richtig anzuzeigen:
Für meine Ubuntu 12.04 x64 LiveCD ergibt dies:
Daher wurde das Bild am 23. August 2012 um 17: 13: 47.00 GMT erstellt .
UDF
Die Norm legt reichte die RecordingDateandTime als Binärdarstellung der Zeitpunkt der Erstellung des primären Volumens zu dem 376. bis 387. Byte des geschrieben Primary Volume Descriptor in dem folgenden Format:
Hierbei ist jedes Paar ein Oktett (Byte), dh
XX
es setzt sich aus zwei Hexadezimalzahlen zusammen.TT tT
ist eine Little-Endian- 16-Bit-Ganzzahl, die den Typ und die Zeitzone des Zeitstempels darstellt.Die 12 niedrigstwertigen Bits (
TTT
) enthalten die Zeitzone, die als Versatz von UTC in Minuten als Ganzzahl mit Vorzeichen ( Zweierkomplementdarstellung ) codiert ist .Die vier höchstwertigen Bits (
t
) enthalten den Typ (immer die1
Ortszeit).YY YY
ist das Jahr, das als vorzeichenbehaftete Little-Endian- 16-Bit-Ganzzahl ( Zweierkomplement-Darstellung ) codiert ist .MM
,DD
,HH
MM
,SS
,CC
,BB
UndAA
sind unsigned 8-Bit - Integer der Monat, Tag, Stunde Minute, Sekunde, Zentisekunde, Hunderte von Mikrosekunden und Mikrosekunde der Schöpfung darstellt.Auch hier werden die ersten 32 KB der Disc nicht von UDF verwendet. Darüber hinaus sind die folgenden 32 KByte für ein älteres ISO 9660-Dateisystem reserviert (das ggf. mehr Speicherplatz belegt).
Auf einer "reinen" UDF-Disc der Befehl
zeigt den verschlüsselten Zeitstempel an.
Zu Testzwecken habe ich mit K3b ein UDF-Image erstellt. Die Ausgabe des
dd
Befehls war wie folgtAnalyse:
0xF4C (hexadezimal) ist größer als 0x800 und daher negativ. Wenn Sie 0x1000 von 0xF4C ausruhen, erhalten Sie -180 als Dezimalzahl. Dies bedeutet, dass die Zeitzone UTC - 3 ist.
0x07DD ist 2013 als Dezimalzahl (das Erstellungsjahr).
Die verbleibenden Oktette können in ihrer hexadezimalen Darstellung wörtlich interpretiert werden (0x0F, 0x0B und 0x11 sind 15, 11 und 17 dezimal).
Dies bedeutet, dass das Image am 1. März 2013 um 15: 11: 17.000000 UTC + 3 erstellt wurde .
Vorbehalte
Es ist unkompliziert, dieses Datum zu manipulieren. Sie müssen lediglich das Datum des Computers ändern, bevor Sie das Image erstellen.
Wenn das Image erstellt wird, bevor es tatsächlich auf die Disc gebrannt wurde, wird die frühere Zeit aufgezeichnet. Somit ist das Feld nur ein möglicher Beweis für Discs, die vom Eigentümer selbst erstellt wurden.
quelle
dd if=/dev/disk4 | tail -c +33144 | head -c 17 | hexdump -C
. Aber ich bekomme nur Nullen. Ist meine Berechnung 32.768 + 376 korrekt oder hat der nicht verwendete UDF-Block eine andere Größe? Ich habe gegoogelt, aber nichts gefunden.--- /dev/disk4 Block device, size 4.383 GiB (4706074624 bytes) disktype: Data read failed at position 4706070528: Input/output error UDF file system Sector size 2048 bytes Volume name "Alenander" UDF version 1.02 disktype: Data read failed at position 4706009088: Input/output error
Ja, es gibt:
date
und nachtime
Attributen suchen Sie. Ändern Sie einfach die Ansicht des Ordners und überprüfen Sie die Eigenschaften der Datei.Hat vor einer Minute eine Festplatte auf W7 und Mac OS X überprüft. Siehe Screenshots unten.
quelle