จะทราบได้อย่างไรว่ามีการเขียน / เขียนแผ่นดิสก์ (DVD)

มีวิธี / เครื่องมือในการกำหนดวันที่และเวลาเมื่อมีการเขียน / เขียนแผ่นด้วยความมั่นใจสูงหรือไม่? นี่เป็นข้อมูลเกี่ยวกับการพิสูจน์หลักฐานทางนิติเวชและควรเป็นหลักฐานที่ชัดเจน ฉันลองใช้ IsoBuster แล้ว แต่ไม่ได้แสดงวันที่ / เวลาที่เขียนแทร็ก

แผ่นดิสก์ข้อมูลแสงส่วนใหญ่ใช้ มาตรฐาน ISO 9660ระบบไฟล์มาตรฐานระดับเสียงและไฟล์โครงสร้างของแผ่น CD-ROM สำหรับการแลกเปลี่ยนข้อมูลที่สากลดิสก์รูปแบบจำเพาะหรือทั้งสอง (เรียกว่าสะพาน UDF )

เพื่อหาว่าคุณสามารถดำเนินการ

mount

บน Linux หลังจากติดตั้งแผ่นดิสก์เพื่อระบุไฟล์อุปกรณ์ของออปติคัลดิสก์ไดรฟ์

ตัวอย่างผลลัพธ์:

/dev/sr0 /media/dennis/CDROM iso9660 ro,nosuid,nodev,uid=1000,gid=1000,iocharset=utf8,mode=0400,dmode=0500,uhelper=udisks2 0 0

/dev/sr0นี่แฟ้มอุปกรณ์คือ คำสั่ง

disktype /dev/sr0

จะแสดงระบบไฟล์ที่มีอยู่ หากมีทั้งคู่การวิเคราะห์ ISO 9660 ควรจะง่ายกว่า

ISO 9660

มาตรฐานระบุเขตข้อมูลวันที่และเวลาของการสร้างโวลลุ่มเป็นการแสดงตัวเลขของช่วงเวลาของการสร้างโวลุ่มที่เขียนถึง 814 ถึง 830 ไบต์ของตัวบ่งชี้ไดรฟ์ข้อมูลหลักในรูปแบบต่อไปนี้:

YYYYMMDDHHMMSSCCO

โดยที่CCคือ centiseconds และOคือออฟเซ็ตจาก GMT ในช่วงเวลา 15 นาทีซึ่งจัดเก็บเป็นจำนวนเต็ม 8 บิต ( การแสดงส่วนประกอบสองส่วน )

32 กิโลไบต์แรก (32,768 ไบต์) ของแผ่นดิสก์ไม่ได้ถูกใช้โดย ISO 9660 และตัวบ่งชี้ด้านบนจะตามหลังบล็อกที่ไม่ได้ใช้ทันทีดังนั้นเราจึงสนใจไบต์ที่ 33,582 และ 16 ที่ตามมา

ข้อมูลนี้สามารถวิเคราะห์ได้โดยเครื่องมือใด ๆ ที่สามารถถ่ายโอน / อ่านข้อมูลดิบบนแผ่นดิสก์ออปติคัล บน Linux คุณสามารถใช้ddเพื่อดัมพ์ส่วนที่เกี่ยวข้องของอิมเมจและ hexdump เพื่อดูไบต์สุดท้ายอย่างถูกต้อง:

dd if=/dev/sr0 bs=1 skip=33581 count=17 | hexdump -C

สำหรับ Ubuntu LiveCD ของฉัน 12.04 x64 สิ่งนี้จะให้:

00000000  32 30 31 32 30 38 32 33  31 37 31 33 34 37 30 30  |2012082317134700|
00000010  00                                                |.|

ดังนั้นภาพจึงถูกสร้างขึ้นในวันที่ 23 สิงหาคม 2012 เวลา 17: 13: 47.00 GMTGMT

UDF

มาตรฐานระบุการบันทึก RecordingDateandTimeเป็นตัวแทนไบนารีของช่วงเวลาของการสร้างไดรฟ์ข้อมูลหลักเขียนไปยังไบต์ 376 ถึง 387th ของPrimary Volume Descriptorในรูปแบบต่อไปนี้:

TT tT YY YY MM DD HH MM SS CC BB AA

ที่นี่แต่ละคู่เป็น octet (ไบต์) กล่าวXXคือประกอบด้วยเลขฐานสิบหกสองตัว

• TT tTเป็นจำนวนเต็ม 16 บิตแบบ endianน้อยแทนประเภทและเขตเวลาของการประทับเวลา

  อย่างน้อยบิตอย่างมีนัยสำคัญ 12 ( TTT) ถือโซนเวลา, การเข้ารหัสเป็นชดเชยจาก UTC ในนาทีที่เป็นจำนวนเต็มลงนาม ( ตัวแทนเติมเต็มสอง )

  บิตที่สำคัญที่สุดสี่ ( t) ถือประเภท (เสมอ1หมายถึงเวลาท้องถิ่น)

• YY YYเป็นปีที่เข้ารหัสเป็นเลขจำนวนเต็ม 16 บิตแบบ end-endian เล็ก ๆ น้อย ๆ (การเป็นตัวแทนสองส่วน )

• MM, DD, HH MM, SS, CC, BBและAAมีไม่ได้ลงนาม 8 บิตจำนวนเต็มเป็นตัวแทนของเดือนวันชั่วโมงนาทีวินาที centisecond ร้อย microseconds และไมโครของการสร้าง

UDF ขนาด 32 KiB แรกไม่ได้ถูกใช้งาน นอกจากนี้ไบต์ 32 KiB ต่อไปนี้สงวนไว้สำหรับระบบไฟล์ ISO 9660 แบบดั้งเดิม (ซึ่งอาจใช้พื้นที่เพิ่มขึ้นหากมี)

บนดิสก์ UDF ที่ "บริสุทธิ์" คำสั่ง

dd if=/dev/sr0 bs=1 skip=65912 count=12 | hexdump -C

จะแสดงการประทับเวลาที่เข้ารหัส

สำหรับวัตถุประสงค์ในการทดสอบฉันได้สร้างอิมเมจ UDF ด้วย K3b เอาต์พุตของddคำสั่งมีดังต่อไปนี้

00000000  4c 1f dd 07 03 01 0f 0b  11 00 00 00              |L...........|
0000000c

วิเคราะห์:

• 0xF4C (เลขฐานสิบหก) ใหญ่กว่า 0x800 และ - จึง - เป็นลบ การพัก 0x1000 จาก 0xF4C จะให้ -180 เป็นทศนิยม ซึ่งหมายความว่าเขตเวลาคือ UTC - 3

• 0x07DD คือ 2013 ในรูปทศนิยม (ปีที่สร้าง)

• octet ที่เหลือสามารถตีความได้อย่างแท้จริงในรูปแบบเลขฐานสิบหก (0x0F, 0x0B และ 0x11 คือ 15, 11 และ 17 เป็นทศนิยม)

  ซึ่งหมายความว่ารูปภาพถูกสร้างขึ้นในวันที่ 1 มีนาคม 2013 เวลา 15: 11: 17.000000 UTC + 33

คำเตือน

• ตรงไปตรงมาจะยุ่งเกี่ยวกับวันที่นี้ สิ่งที่ต้องการคือการเปลี่ยนวันที่ของคอมพิวเตอร์ก่อนที่จะสร้างภาพ

• หากภาพถูกสร้างขึ้นก่อนที่จะถูกเผาลงดิสก์จริงครั้งก่อนจะถูกบันทึก ดังนั้นฟิลด์นี้จึงเป็นเพียงหลักฐานที่เป็นไปได้สำหรับแผ่นดิสก์ที่เจ้าของสร้างขึ้นเอง

ใช่มี: dateและtimeคุณลักษณะคือสิ่งที่คุณกำลังมองหา เพียงเปลี่ยนมุมมองของโฟลเดอร์และตรวจสอบคุณสมบัติของไฟล์

ตรวจสอบเมื่อนาทีที่แล้วหนึ่งดิสก์บน W7 และ Mac OS X ดูภาพหน้าจอด้านล่าง ..