Existe uma maneira / ferramenta de determinar a data e a hora em que um disco foi gravado / gravado com alta segurança? Trata-se de análise forense de dados e deve ser uma prova sólida. Eu já tentei o IsoBuster, mas não me mostrou a data / hora em que a faixa foi escrita.
13
Respostas:
A maioria dos discos de dados ópticos usa o volume padrão do sistema de arquivos ISO 9660 e a estrutura de arquivos do CD-ROM para troca de informações , a Universal Disk Format Specification ou ambas (chamada de ponte UDF ).
Para descobrir qual, você pode executar
no Linux após a montagem do disco para identificar o arquivo de dispositivo da unidade de disco óptico.
Exemplo de saída:
Aqui, o arquivo de dispositivo é
/dev/sr0
. O comandoexibirá os sistemas de arquivos disponíveis. Se ambos estiverem presentes, a análise da ISO 9660 deve ser mais fácil.
ISO 9660
O padrão especifica o campo Data e hora da criação do volume como uma representação numérica do momento da criação do volume, gravada no 814º ao 830º byte do Descritor de Volume Primário no seguinte formato:
onde CC são centisegundos e O é o deslocamento do GMT em intervalos de 15 minutos, armazenados como um número inteiro de 8 bits ( representação do complemento de dois ).
Os primeiros 32 KiB (32.768 bytes) do disco não são usados pela ISO 9660 e o descritor acima segue imediatamente o bloco não utilizado, por isso estamos interessados em 33.582 ° byte e nos 16 a seguir.
Esta informação pode ser analisada por qualquer ferramenta que possa despejar / ler os dados brutos no disco óptico. No Linux, você pode usar o dd para despejar a parte relevante da imagem e o hexdump para visualizar o último byte corretamente:
Para o meu LiveCD Ubuntu 12.04 x64, isso fornece:
então a imagem foi criada em 23 de agosto de 2012, às 17: 13: 47.00 GMT .
UDF
O padrão especifica o RecordingDateandTime arquivado como uma representação binária do momento da criação do volume primário, gravada no 376º ao 387º byte do Descritor de Volume Primário no seguinte formato:
Aqui, cada par é um octeto (byte), ou seja,
XX
é composto por dois números hexadecimais.TT tT
é um inteiro little-endian de 16 bits que representa o tipo e o fuso horário do registro de data e hora.Os 12 bits menos significativos (
TTT
) mantêm o fuso horário, codificado como o deslocamento do UTC em minutos como um número inteiro assinado ( representação do complemento de dois ).Os quatro bits mais significativos (
t
) contêm o tipo (sempre1
, significando hora local).YY YY
é o ano codificado como um número inteiro de 16 bits little endian assinado ( representação de complemento de dois ).MM
,DD
,HH
MM
,SS
,CC
,BB
EAA
são inteiros de 8 bits sem sinal que representa o mês, dia, hora minuto, segundo, centisecond, centenas de microssegundos e microssegundo da criação.Novamente, os primeiros 32 KiB do disco não são usados pelo UDF. Além disso, os seguintes 32 KiB bytes são reservados para um sistema de arquivos ISO 9660 herdado (que pode ocupar mais espaço, se presente).
Em um disco UDF "puro", o comando
exibirá o registro de data e hora codificado.
Para fins de teste, criei uma imagem UDF com o K3b. A saída do
dd
comando foi a seguinteAnálise:
0xF4C (hexadecimal) é maior que 0x800 e, portanto, negativo. Descansar 0x1000 de 0xF4C fornece -180 em decimal. Isso significa que o fuso horário é UTC - 3.
0x07DD é 2013 em decimal (o ano de criação).
Os octetos restantes podem ser interpretados literalmente em sua representação hexadecimal (0x0F, 0x0B e 0x11 são 15, 11 e 17 em decimal).
Isso significa que a imagem foi criada em 1 de março de 2013, às 15: 11: 17.000000 UTC + 3 .
Ressalvas
É fácil adulterar esta data. Tudo o que é necessário é alterar a data do computador antes de criar a imagem.
Se a imagem for criada antes de ser realmente gravada no disco, a primeira vez será gravada. Portanto, o campo é apenas uma evidência potencial para discos criados pelo próprio proprietário.
fonte
dd if=/dev/disk4 | tail -c +33144 | head -c 17 | hexdump -C
. Mas eu só recebo zero. Meu cálculo 32.768 + 376 está correto ou o bloco não utilizado de UDF tem um tamanho diferente? Eu pesquisei no Google, mas não encontrei nada.--- /dev/disk4 Block device, size 4.383 GiB (4706074624 bytes) disktype: Data read failed at position 4706070528: Input/output error UDF file system Sector size 2048 bytes Volume name "Alenander" UDF version 1.02 disktype: Data read failed at position 4706009088: Input/output error
Sim, existe:
date
etime
atributos é o que você está procurando. Apenas mude a visualização da pasta e verifique as propriedades do arquivo.Verificado um minuto atrás, um disco no W7 e no Mac OS X. Veja as capturas de tela abaixo ..
fonte