电子数据取证技术—读书笔记

《电子数据取证技术》这本书对很多取证的基础知识和工具做了非常全面的讲解，作为第一套计算机犯罪侦查专业系列的教程，值得用心去读一遍

6.1 数字时间取证

取证目标的时间检查注意以下因素：

检查时不仅要通过系统时间查看，还得查看注册表中当前时区，所对应的注册表的位置在:
计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Time Zones 保存了所有时区

某些防病毒软件对文件扫描之后都会改变最后访问时间（部分杀毒软件扫描完后会恢复），如果进行了修复的话最后访问时间和修改时间都会改变

时间取证判断的规律：

（1）如果修改时间等于建立时间，那么文件是原始文件，没修改和剪贴

（2）如果修改时间早于建立时间，那么文件被复制或移动过

（3）硬盘内批量文件有很近的访问时间，可能是被工具扫描过，如杀毒软件。

（4）一个文件夹内一些文件的修改时间等于创建时间或者很相近，可能是网上批量下载

（5）文件拷贝，修改时间不变，创建时间和拷贝时间一致

（6）文件下载，创建时间和开始下载时间一致，修改时间为下载结束的时间（IE下载时先下载到临时目录内在拷贝。）

（7）解压后，创建时间是解压时间，修改时间不变（压缩前一致）

时间取证的工具一般有DCode和DateDecoder。前者是图形化的界面，易于理解，后者是终端命令，但是可以将时间与其表现形式双向解析。

FAT分区中，如果设置卷标，在FAT表头会出现卷标记录。

喝酒易醉，品茶养心，人生如梦，品茶悟道，何以解忧？唯有杜康！

-- 愿君每日到此一游！