Wie kann ich herausfinden, wann eine Disc (DVD) beschrieben / gebrannt wurde?

13

Gibt es eine Möglichkeit / ein Werkzeug, um Datum und Uhrzeit zu bestimmen, wann eine Disc mit hoher Sicherheit beschrieben / gebrannt wurde? Es geht um Datenforensik und sollte ein solider Beweis sein. Ich habe IsoBuster bereits ausprobiert, aber es zeigte mir nicht das Datum / die Uhrzeit, an dem / der der Track geschrieben wurde.

security dvd compact-disc burning forensics woerndl
quelle
1
Kohlenstoff aus ? :) Das ist nur ein halber Scherz: Es scheint wirklich so, als ob Sie nach einer Antwort in der Physik suchen sollten, nicht in der Informatik.
Celada
1
Ich müsste mit @Celada einverstanden sein. Jedes auf die Festplatte gebrannte Datum kann leicht gefälscht werden. Für einen soliden Beweis müssten Sie wahrscheinlich physische Tests auf der Festplatte selbst durchführen.
Dracs
@Celada, das ist sicher ein guter Input, danke. Ich hoffe jedoch, dass es eine gute Möglichkeit gibt, dies mit gängiger Software / Hardware festzustellen, da Ressourcen eine Rolle spielen und in diesem speziellen Fall einen Engpass darstellen.
Woerndl
@Dracs Danke auch. Nun, ich nehme im Grunde alles als "soliden Beweis", der besser ist als das Datum der Dateiänderung.
Woerndl
2
Wenn Sie eine CD finden, die angeblich vor 1980 geschrieben wurde, handelt es sich wahrscheinlich um eine Fälschung.
Daniel R Hicks

Antworten:

18

Die meisten optischen Datenträger verwenden den ISO 9660- Dateisystemstandard Volume und Dateistruktur der CD-ROM für den Informationsaustausch , die Universal Disk Format Specification oder beides (als UDF-Bridge bezeichnet ).

Um herauszufinden, was Sie ausführen können

mount

unter Linux, nachdem die Disc gemountet wurde, um die Gerätedatei des optischen Laufwerks zu identifizieren.

Beispielausgabe:

/dev/sr0 /media/dennis/CDROM iso9660 ro,nosuid,nodev,uid=1000,gid=1000,iocharset=utf8,mode=0400,dmode=0500,uhelper=udisks2 0 0

Hier ist die Gerätedatei /dev/sr0. Der Befehl

disktype /dev/sr0

zeigt die verfügbaren Dateisysteme an. Wenn beide vorhanden sind, sollte die Analyse der ISO 9660 einfacher sein.

ISO 9660

Der Standard gibt das Feld Erstellungsdatum und -zeit des Volumes als numerische Darstellung des Erstellungszeitpunkts des Volumes an, der im 814. bis 830. Byte des primären Volume-Deskriptors in folgendem Format geschrieben wird:

YYYYMMDDHHMMSSCCO

Dabei sind CC Zentisekunden und O der Versatz von GMT in Intervallen von 15 Minuten, gespeichert als 8-Bit-Ganzzahl ( Zweierkomplementdarstellung ).

Die ersten 32 KiB (32.768 Bytes) der Disc werden von ISO 9660 nicht verwendet, und der obige Deskriptor folgt unmittelbar auf den nicht verwendeten Block. Wir sind also an dem 33.582. Byte und den folgenden 16 interessiert.

Diese Informationen können von jedem Tool analysiert werden, das die Rohdaten auf der optischen Disc speichern / lesen kann. Unter Linux können Sie dd verwenden , um den relevanten Teil des Images zu sichern, und hexdump, um das letzte Byte richtig anzuzeigen:

dd if=/dev/sr0 bs=1 skip=33581 count=17 | hexdump -C

Für meine Ubuntu 12.04 x64 LiveCD ergibt dies:

00000000  32 30 31 32 30 38 32 33  31 37 31 33 34 37 30 30  |2012082317134700|
00000010  00                                                |.|

Daher wurde das Bild am 23. August 2012 um 17: 13: 47.00 GMT erstellt .

UDF

Die Norm legt reichte die RecordingDateandTime als Binärdarstellung der Zeitpunkt der Erstellung des primären Volumens zu dem 376. bis 387. Byte des geschrieben Primary Volume Descriptor in dem folgenden Format:

TT tT YY YY MM DD HH MM SS CC BB AA

Hierbei ist jedes Paar ein Oktett (Byte), dh XXes setzt sich aus zwei Hexadezimalzahlen zusammen.

  • TT tTist eine Little-Endian- 16-Bit-Ganzzahl, die den Typ und die Zeitzone des Zeitstempels darstellt.

    Die 12 niedrigstwertigen Bits ( TTT) enthalten die Zeitzone, die als Versatz von UTC in Minuten als Ganzzahl mit Vorzeichen ( Zweierkomplementdarstellung ) codiert ist .

    Die vier höchstwertigen Bits ( t) enthalten den Typ (immer die 1Ortszeit).

  • YY YYist das Jahr, das als vorzeichenbehaftete Little-Endian- 16-Bit-Ganzzahl ( Zweierkomplement-Darstellung ) codiert ist .

  • MM, DD, HH MM, SS, CC, BBUnd AAsind unsigned 8-Bit - Integer der Monat, Tag, Stunde Minute, Sekunde, Zentisekunde, Hunderte von Mikrosekunden und Mikrosekunde der Schöpfung darstellt.

Auch hier werden die ersten 32 KB der Disc nicht von UDF verwendet. Darüber hinaus sind die folgenden 32 KByte für ein älteres ISO 9660-Dateisystem reserviert (das ggf. mehr Speicherplatz belegt).

Auf einer "reinen" UDF-Disc der Befehl

dd if=/dev/sr0 bs=1 skip=65912 count=12 | hexdump -C

zeigt den verschlüsselten Zeitstempel an.

Zu Testzwecken habe ich mit K3b ein UDF-Image erstellt. Die Ausgabe des ddBefehls war wie folgt

00000000  4c 1f dd 07 03 01 0f 0b  11 00 00 00              |L...........|
0000000c

Analyse:

  • 0xF4C (hexadezimal) ist größer als 0x800 und daher negativ. Wenn Sie 0x1000 von 0xF4C ausruhen, erhalten Sie -180 als Dezimalzahl. Dies bedeutet, dass die Zeitzone UTC - 3 ist.

  • 0x07DD ist 2013 als Dezimalzahl (das Erstellungsjahr).

  • Die verbleibenden Oktette können in ihrer hexadezimalen Darstellung wörtlich interpretiert werden (0x0F, 0x0B und 0x11 sind 15, 11 und 17 dezimal).

    Dies bedeutet, dass das Image am 1. März 2013 um 15: 11: 17.000000 UTC + 3 erstellt wurde .

Vorbehalte

  • Es ist unkompliziert, dieses Datum zu manipulieren. Sie müssen lediglich das Datum des Computers ändern, bevor Sie das Image erstellen.

  • Wenn das Image erstellt wird, bevor es tatsächlich auf die Disc gebrannt wurde, wird die frühere Zeit aufgezeichnet. Somit ist das Feld nur ein möglicher Beweis für Discs, die vom Eigentümer selbst erstellt wurden.

Dennis
quelle
Ich habe versucht zu rennen dd if=/dev/disk4 | tail -c +33144 | head -c 17 | hexdump -C. Aber ich bekomme nur Nullen. Ist meine Berechnung 32.768 + 376 korrekt oder hat der nicht verwendete UDF-Block eine andere Größe? Ich habe gegoogelt, aber nichts gefunden.
Woerndl
Disktype gibt Folgendes zurück: --- /dev/disk4 Block device, size 4.383 GiB (4706074624 bytes) disktype: Data read failed at position 4706070528: Input/output error UDF file system Sector size 2048 bytes Volume name "Alenander" UDF version 1.02 disktype: Data read failed at position 4706009088: Input/output error
woerndl
Soll es mit Audio-Discs funktionieren? (scheint mir nicht)
Franck Dernoncourt
@FranckDernoncourt: Nein. ISO 9660 und UDF sind Dateisysteme für optische Datenplatten .
Dennis
@ Tennis Danke! Irgendeine Idee für: Wie kann man herausfinden, wann eine Audio-CD geschrieben / gebrannt wurde?
Franck Dernoncourt
-1

Ja, es gibt: dateund nach timeAttributen suchen Sie. Ändern Sie einfach die Ansicht des Ordners und überprüfen Sie die Eigenschaften der Datei.

Hat vor einer Minute eine Festplatte auf W7 und Mac OS X überprüft. Siehe Screenshots unten.

Bildbeschreibung hier eingeben Bildbeschreibung hier eingeben

Volodymyr M.
quelle
1
Die Änderungszeiten von Dateien haben wahrscheinlich nichts damit zu tun, wann die Dateien auf eine Festplatte gebrannt wurden ... und was ist, wenn es sich um eine Audio-Disc oder ähnliches handelt, die kein Dateisystem hat?
Celada
OP erwähnt nicht, welche Art von CD / DVD verwendet wird. Die Attribute für die zweite, einmal in CD / DVD geschriebene, können nicht geändert werden. Warum können diese nicht als Informationsquelle verwendet werden, auch wenn sie nicht 100% ergeben. Garantie?
Volodymyr M.
@ Volodymyr-Datei Änderungsdaten sind alles, was ich jetzt habe. Sie sind eine Art Beweis, bieten aber nicht die Gewissheit, die ich suche. Vielen Dank für Ihre Mühe.
Woerndl
@Celada Haben Sie eine Antwort auf Ihre Frage zu Audio-CDs gefunden? Ich habe das gleiche Problem.
Franck Dernoncourt