ความถูกต้องของการสร้างไฟล์หรือวันที่แก้ไขคืออะไร?

เนื่องจากบางคดีในศาลในเขตอำนาจศาลของฉันฉันมักจะเห็นผู้เชี่ยวชาญที่ศาลแต่งตั้งกำหนดวันที่สร้างเอกสาร เป็นไปได้หรือไม่ที่จะทำผ่านวิธีการซอฟต์แวร์? เราจะพิสูจน์วันที่สร้างได้อย่างไรถ้ามีการใช้วันที่ปลอมก่อนที่เอกสารจะถูกสร้างขึ้น?

ฉันรู้ว่าส่วนนี้ไม่ได้เป็นของ superuser แต่อย่างใดฉันก็อยากรู้อยากเห็นว่าวิธีการฮาร์ดแวร์จะทำงาน (เพื่อความแม่นยำ - วัน / เดือน / ปี)

ข้อมูลเมตาของไฟล์ (เช่นวันที่สร้างการแก้ไขครั้งล่าสุด ฯลฯ ) โดยทั่วไปเป็นเรื่องของระบบไฟล์และสามารถแก้ไขได้โดยใช้เครื่องมือซอฟต์แวร์ต่าง ๆ อันที่จริงระบบไฟล์บางระบบไม่ได้ติดตามวันที่สร้าง (เช่น ext3 บน linux track ctime ซึ่งจริงๆแล้วเป็นเวลาเปลี่ยน inode) ข้อมูลเมตาที่ถูกติดตามจะแตกต่างจากระบบแฟ้มไปยังระบบแฟ้ม - ระบบไฟล์บางระบบจะอนุญาตให้ติดตามเวลาการเข้าถึงล่าสุดการแก้ไขครั้งล่าสุด ฯลฯ

ความง่ายในการเปลี่ยน "เวลาสร้าง" (หรือแก้ไขล่าสุดเข้าถึงล่าสุด ฯลฯ ) อาจแตกต่างจากระบบไฟล์เป็นระบบไฟล์ แต่โดยทั่วไปเวลาประทับเหล่านี้ไม่น่าเชื่อถือ 100%

ฉันจะจินตนาการในสภาพแวดล้อมที่ห้องพิจารณาคดีฝ่ายหนึ่งจะพยายามแนะนำเวลาแก้ไขล่าสุดที่ดีเนื่องจากผู้ใช้มีความสามารถบางอย่างการจับคู่ครั้งอื่น ๆ ของไฟล์ ฯลฯ ขณะที่ฝ่ายตรงข้ามพยายามชี้ให้เห็นว่าเวลาของไฟล์สามารถ แกล้งทำ มันไม่ชัดเจนสำหรับฉันที่ฝ่ายใดฝ่ายหนึ่งจะประสบความสำเร็จในการโน้มน้าวผู้พิพากษาหรือคณะลูกขุนว่าเกิดอะไรขึ้นยกเว้นว่ามี "ปืนสูบบุหรี่" ที่พบว่าแสดงความไม่สอดคล้องกับเวลาประทับ (เช่นไฟล์สองไฟล์ที่สร้างในวันเดียวกันนั้น หรือสำเนาของไฟล์ถูกส่งทางอีเมลก่อนวันที่สร้างที่ควรเป็นต้น)

ฉันไม่ทราบวิธีการฮาร์ดแวร์ใด ๆ เพื่อติดตามการแก้ไข

การปฏิเสธความรับผิด: IANAL

กฎข้อแรกของนิติวิทยาศาสตร์คือการอ่านทั้งหมดเป็นที่น่าสงสัยถ้าคุณนำพวกเขาลงไปที่ Nth ดังนั้นคุณจำเป็นต้องสร้างความสมเหตุสมผลในระดับที่คุณยอมรับการค้นพบ สามารถแก้ไขวันที่ใช่ได้ แต่ต้องใช้ผู้ใช้ที่มีความซับซ้อนมากและพวกเขาเกือบจะต้องมีการเข้าถึงระบบเพื่อทำสิ่งนั้น

มีหลายสถานการณ์ที่คอมพิวเตอร์ไม่จำเป็นต้องเดาอย่างดีที่สุดเกี่ยวกับคุณลักษณะบางอย่าง ตัวอย่างเช่นถ้าฉันคัดลอกไฟล์จากไฟล์เซิร์ฟเวอร์ SAMBA ของฉันไปยังเวิร์กสเตชันของฉันวันที่สร้างไฟล์คือเวลาที่ฉันวางไฟล์ไม่ใช่เวลาที่สร้างขึ้นในตอนแรก ในกรณีของฉันมันจะรักษาเวลาแก้ไขที่ถูกต้อง แต่นั่นอาจไม่เป็นกรณี

ด้วยการทำเจอร์นัลระบบไฟล์คุณอาจมีหลักฐานบางอย่างที่เมตาดาต้าของไฟล์ถูกดัดแปลงหรือปลอมแปลง แต่นั่นก็หมายความว่าระบบไฟล์นั้นอยู่ในการควบคุมของการปรับเปลี่ยนซึ่งไม่น่าเป็นไปได้ คุณควรตรวจสอบเนื้อหาของสำเนาสำรองเสมอและอาจจะเป็น pagefile และ hiberfill.sys เพื่อค้นหาสำเนาของข้อมูลไฟล์ที่ไม่เห็นด้วยกับวันที่ข้อมูล

ในระยะยาวหากสงสัยหรือเชื่อมต่อกับช่างฝีมือหรือผู้โจมตีอย่างใดอย่างหนึ่งแล้วสงสัยวันที่ หากพวกเขาเพิ่งจะรู้วิธีสร้างหน้าต่างใหม่และไม่รู้ว่า linux คืออะไรวันที่นั้นน่าจะถูกต้องเว้นแต่ว่าเอเจนต์ภายนอกกำลังเล่นอยู่

ผู้ใดที่เป็นเจ้าของหรือมีสิทธิ์ในการเข้าถึงคอมพิวเตอร์สามารถทำได้ด้วยวิธีที่เขาต้องการ รวมถึงแกล้งวันที่สร้างไฟล์

วิธีเดียวที่ผู้เชี่ยวชาญจะกำหนดวันที่แน่นอนคือถ้าเอกสารหรือสำเนาถูกเก็บไว้ที่อื่นในสถานที่ที่จัดการโดยบุคคลที่สามที่เชื่อถือได้

เช่นที่ใดที่หนึ่งบนคลาวด์และใช้การสำรองข้อมูลของผู้ให้บริการคลาวด์เพื่อตรวจสอบสิ่งต่างๆ หรือส่งจดหมายถึงใครบางคน ณ วันที่ X ที่ผู้รับทราบว่าถูกสร้างขึ้นก่อนหรือหลังวันที่ X

แต่ทุกคนที่มีสิทธิ์เข้าถึง (ระยะไกลหรือทางกายภาพ) ไปยังคอมพิวเตอร์สามารถเปลี่ยนวันที่สร้างเอกสารที่ชัดเจนได้ พวกเขาอาจไม่มีทักษะในการทำเช่นนั้น แต่นั่นไม่ใช่สิ่งที่ศาลยอมรับ (คล้ายกับ 'แต่เป็นเกียรติของคุณฉันไม่รู้ว่าปืนทำงานอย่างไรดังนั้นฉันจึงไม่สามารถยิงเขาได้')