Como descobrir quando um disco (DVD) foi gravado / gravado?

13

Existe uma maneira / ferramenta de determinar a data e a hora em que um disco foi gravado / gravado com alta segurança? Trata-se de análise forense de dados e deve ser uma prova sólida. Eu já tentei o IsoBuster, mas não me mostrou a data / hora em que a faixa foi escrita.

woerndl
fonte
1
Datação por carbono ? :) Isso é apenas meia piada: realmente parece que você deveria procurar a resposta da física, não da ciência da computação.
Celada 28/02
1
Eu teria que concordar com @Celada Qualquer data gravada no disco seria facilmente falsificada. Para uma prova sólida, você provavelmente precisará realizar testes físicos no próprio disco.
Dracs
@ Celada, bem, isso é uma boa entrada, com certeza, obrigado. Mas espero que exista uma boa maneira de determiná-lo com software / hardware comum, pois os recursos desempenham um papel e são um gargalo nesse caso específico.
28613 woerndl
@ Dracs obrigado também. Bem, basicamente tomo tudo como 'prova sólida', melhor do que datas de alteração de arquivo.
28413 woerndl
2
Se você encontrar um CD que afirma ter sido gravado antes de 1980, provavelmente é falso.
Daniel R Hicks

Respostas:

18

A maioria dos discos de dados ópticos usa o volume padrão do sistema de arquivos ISO 9660 e a estrutura de arquivos do CD-ROM para troca de informações , a Universal Disk Format Specification ou ambas (chamada de ponte UDF ).

Para descobrir qual, você pode executar

mount

no Linux após a montagem do disco para identificar o arquivo de dispositivo da unidade de disco óptico.

Exemplo de saída:

/dev/sr0 /media/dennis/CDROM iso9660 ro,nosuid,nodev,uid=1000,gid=1000,iocharset=utf8,mode=0400,dmode=0500,uhelper=udisks2 0 0

Aqui, o arquivo de dispositivo é /dev/sr0. O comando

disktype /dev/sr0

exibirá os sistemas de arquivos disponíveis. Se ambos estiverem presentes, a análise da ISO 9660 deve ser mais fácil.

ISO 9660

O padrão especifica o campo Data e hora da criação do volume como uma representação numérica do momento da criação do volume, gravada no 814º ao 830º byte do Descritor de Volume Primário no seguinte formato:

YYYYMMDDHHMMSSCCO

onde CC são centisegundos e O é o deslocamento do GMT em intervalos de 15 minutos, armazenados como um número inteiro de 8 bits ( representação do complemento de dois ).

Os primeiros 32 KiB (32.768 bytes) do disco não são usados ​​pela ISO 9660 e o descritor acima segue imediatamente o bloco não utilizado, por isso estamos interessados ​​em 33.582 ° byte e nos 16 a seguir.

Esta informação pode ser analisada por qualquer ferramenta que possa despejar / ler os dados brutos no disco óptico. No Linux, você pode usar o dd para despejar a parte relevante da imagem e o hexdump para visualizar o último byte corretamente:

dd if=/dev/sr0 bs=1 skip=33581 count=17 | hexdump -C

Para o meu LiveCD Ubuntu 12.04 x64, isso fornece:

00000000  32 30 31 32 30 38 32 33  31 37 31 33 34 37 30 30  |2012082317134700|
00000010  00                                                |.|

então a imagem foi criada em 23 de agosto de 2012, às 17: 13: 47.00 GMT .

UDF

O padrão especifica o RecordingDateandTime arquivado como uma representação binária do momento da criação do volume primário, gravada no 376º ao 387º byte do Descritor de Volume Primário no seguinte formato:

TT tT YY YY MM DD HH MM SS CC BB AA

Aqui, cada par é um octeto (byte), ou seja, XXé composto por dois números hexadecimais.

  • TT tTé um inteiro little-endian de 16 bits que representa o tipo e o fuso horário do registro de data e hora.

    Os 12 bits menos significativos ( TTT) mantêm o fuso horário, codificado como o deslocamento do UTC em minutos como um número inteiro assinado ( representação do complemento de dois ).

    Os quatro bits mais significativos ( t) contêm o tipo (sempre 1, significando hora local).

  • YY YYé o ano codificado como um número inteiro de 16 bits little endian assinado ( representação de complemento de dois ).

  • MM, DD, HH MM, SS, CC, BBE AAsão inteiros de 8 bits sem sinal que representa o mês, dia, hora minuto, segundo, centisecond, centenas de microssegundos e microssegundo da criação.

Novamente, os primeiros 32 KiB do disco não são usados ​​pelo UDF. Além disso, os seguintes 32 KiB bytes são reservados para um sistema de arquivos ISO 9660 herdado (que pode ocupar mais espaço, se presente).

Em um disco UDF "puro", o comando

dd if=/dev/sr0 bs=1 skip=65912 count=12 | hexdump -C

exibirá o registro de data e hora codificado.

Para fins de teste, criei uma imagem UDF com o K3b. A saída do ddcomando foi a seguinte

00000000  4c 1f dd 07 03 01 0f 0b  11 00 00 00              |L...........|
0000000c

Análise:

  • 0xF4C (hexadecimal) é maior que 0x800 e, portanto, negativo. Descansar 0x1000 de 0xF4C fornece -180 em decimal. Isso significa que o fuso horário é UTC - 3.

  • 0x07DD é 2013 em decimal (o ano de criação).

  • Os octetos restantes podem ser interpretados literalmente em sua representação hexadecimal (0x0F, 0x0B e 0x11 são 15, 11 e 17 em decimal).

    Isso significa que a imagem foi criada em 1 de março de 2013, às 15: 11: 17.000000 UTC + 3 .

Ressalvas

  • É fácil adulterar esta data. Tudo o que é necessário é alterar a data do computador antes de criar a imagem.

  • Se a imagem for criada antes de ser realmente gravada no disco, a primeira vez será gravada. Portanto, o campo é apenas uma evidência potencial para discos criados pelo próprio proprietário.

Dennis
fonte
Eu tentei correr dd if=/dev/disk4 | tail -c +33144 | head -c 17 | hexdump -C. Mas eu só recebo zero. Meu cálculo 32.768 + 376 está correto ou o bloco não utilizado de UDF tem um tamanho diferente? Eu pesquisei no Google, mas não encontrei nada.
woerndl
Disktype retorna o seguinte: --- /dev/disk4 Block device, size 4.383 GiB (4706074624 bytes) disktype: Data read failed at position 4706070528: Input/output error UDF file system Sector size 2048 bytes Volume name "Alenander" UDF version 1.02 disktype: Data read failed at position 4706009088: Input/output error
woerndl
É suposto funcionar com discos de áudio? (não parece para mim)
Franck Dernoncourt
@FranckDernoncourt: Não. ISO 9660 e UDF são sistemas de arquivos de discos de dados ópticos .
Dennis
@Dennis Thanks! Alguma idéia para: Como descobrir quando um disco de áudio (CD) foi gravado / gravado?
Franck Dernoncourt
-1

Sim, existe: datee timeatributos é o que você está procurando. Apenas mude a visualização da pasta e verifique as propriedades do arquivo.

Verificado um minuto atrás, um disco no W7 e no Mac OS X. Veja as capturas de tela abaixo ..

insira a descrição da imagem aqui insira a descrição da imagem aqui

Volodymyr M.
fonte
1
Os tempos de modificação de arquivo provavelmente não têm nada a ver com quando os arquivos foram gravados em um disco ... e se for um disco de áudio ou algo parecido, que não possui um sistema de arquivos?
Celada 28/02
O OP não menciona que tipo de CD \ DVD é usado; para o segundo, uma vez gravados em atributos de CD \ DVD não podem ser alterados; portanto, por que eles não podem ser usados ​​como fonte de informações, mesmo que não dê 100% garantia?
precisa
As datas de alteração do arquivo @Volodymyr são tudo o que tenho agora. Eles são uma espécie de prova, mas não oferecem a certeza que estou procurando. Obrigado pelo seu esforço.
28413 woerndl
@Celada Você encontrou uma resposta para sua pergunta sobre disco de áudio? Estou tendo o mesmo problema.
Franck Dernoncourt