Дата создания/изменения файла

Персональный раздел для Krec.

Дата создания/изменения файла

Сообщение Krec » 22 дек 2011, 17:35

Наврно много раз поднался этот вопрос, но так и как говорится "тема с*** не раскрыта" :)
Сегодня как то читал такой пост:
В NTFS у файла восемь временных меток. Сколько меток позволяет изменить эта функция? Три. Как остальные пять будем менять?

разговор про фальсификации дат шел.
из разговора я понял, что 3 пункта можно изменять а остальные 5 - нет. Вот как смотреть эти все 8 пунктов?
Если это конфиденциальная информация, то пожалусйта, хотяб в ПМ пишите как смотреть все это дело.
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Дата создания/изменения файла

Сообщение Igor Mikhaylov » 22 дек 2011, 19:35

Filesystem Forensic Analysis в помощь. Переписывать сюда 200 страниц текста лень.

По теме топика, как бы в некоторых файлах еще и метаданные попадаются. В документах Office например. :wink:

Вообще, NTFS штука интересная, в том плане, что шаг в сторону, например в область файловых потоков (streams), и сюрпризы начинают выскакивать как чертик из табакерки.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 149 раз.

Re: Дата создания/изменения файла

Сообщение Krec » 22 дек 2011, 19:49

да ладно.. читать целую книгу, чтоб понять как смотреть все атрибуты файла?
тут 2 варианта:
- или вы сами не знайте
- или не хотите распространять такую информацию.
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Дата создания/изменения файла

Сообщение Igor Mikhaylov » 22 дек 2011, 20:06

Krec писал(а):да ладно.. читать целую книгу, чтоб понять как смотреть все атрибуты файла?

Да. Только не книгу, полкниги.

А иначе нельзя. Не поймете.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 149 раз.

Re: Дата создания/изменения файла

Сообщение Антипов Максим » 23 дек 2011, 10:30

2 Krec:
Autopsy попробуйте, есно предварительно почитав мануал - она все временные метки NTFS на раз-два вынимает.
Ах да - книжицу все же придется почитать, хотя бы ради того, чтобы понять, как эта инфа получается и куда ее прикручивать.
Не подумайте, что тут все такие вредные и никому ничего не хотят говорить, просто зачем цитировать длинющие отрывки из книжек и мануалов, учитывая, что ссылок на эти самые мануалы и книжки на этом форуме уже имеются...
P.S. Поковыряйте раздел "Методическое обеспечение" - там есть ответы на все Ваши вопросы, и даже более того.
Не рой яму другому - пусть сам роет.
Аватара пользователя
Антипов Максим
Член клуба
 
Сообщения: 456
Зарегистрирован: 22 май 2009, 18:48
Откуда: Ставропольский край
Благодарил (а): 0 раз.
Поблагодарили: 6 раз.

Re: Дата создания/изменения файла

Сообщение Krec » 23 дек 2011, 13:35

Антипов Максим

Спасибо ! хорошая программая )) этот браузер, я скачал под винду и "наслаждаюсь" . Он намного похож на EnCase, да? тоже вроде видит удаленные файлы и может восстановить.
Но там показывает 4 колонки с датами ))))) а где остальное 4 найти :mrgreen: ? Мне просто интересно стало.

сам по себе, Windows показывает 3 метки: Created, Modifid, Accessed
а Autospy 4 метки: Created, Modifid, Accessed, Changed. Уже прогресс ))))
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Дата создания/изменения файла

Сообщение xxx2x » 23 дек 2011, 14:25

Filesystem Forensic Analysis

Хм... Что-то автор знакомый, это случаем не "криминалистический анализ файловых систем" в оригиале? Если да то книжка на русском языке в сети на каждом углу. Рекомендую как основу основ.
xxx2x
Член клуба
 
Сообщения: 502
Зарегистрирован: 03 апр 2009, 12:19
Благодарил (а): 0 раз.
Поблагодарили: 12 раз.

Re: Дата создания/изменения файла

Сообщение Антипов Максим » 23 дек 2011, 15:23

Не знаю как под винду - не юзал, я в Autopsy под SIFT'ом работаю, там все предельно просто и наглядно.

PS: Krec - RTFM!!!
Не рой яму другому - пусть сам роет.
Аватара пользователя
Антипов Максим
Член клуба
 
Сообщения: 456
Зарегистрирован: 22 май 2009, 18:48
Откуда: Ставропольский край
Благодарил (а): 0 раз.
Поблагодарили: 6 раз.

Re: Дата создания/изменения файла

Сообщение Igor Mikhaylov » 23 дек 2011, 18:47

xxx2x писал(а):Хм... Что-то автор знакомый, это случаем не "криминалистический анализ файловых систем" в оригиале?

Да. Просто перевод не очень хороший а у Krec нет проблем с чтением книг на английском (на сколько я понимаю).
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 149 раз.

Re: Дата создания/изменения файла

Сообщение Krec » 23 дек 2011, 23:23

Igor Michailov писал(а):
xxx2x писал(а):Хм... Что-то автор знакомый, это случаем не "криминалистический анализ файловых систем" в оригиале?

Да. Просто перевод не очень хороший а у Krec нет проблем с чтением книг на английском (на сколько я понимаю).

:mrgreen:
просто приходится немного напрягатся с юридическими терминами. найду новую такую книгу - куплю.
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Дата создания/изменения файла

Сообщение Константин » 27 дек 2011, 00:49

Krec писал(а):Наврно много раз поднался этот вопрос, но так и как говорится "тема с*** не раскрыта" :)
Сегодня как то читал такой пост:
В NTFS у файла восемь временных меток. Сколько меток позволяет изменить эта функция? Три. Как остальные пять будем менять?

Krec, это я вам писал нечто подобное. Там же и советовал - чем посмотреть. Перечитайте, плз. А про то, как менять? Менять можно всё, если разбираетесь на уровне байтов $MFT.
Еще раз повторюсь, открываете аутопсю, делаете репорт по файлу, и ... оп:
4 даты атрибута "стандартной информации;
4 даты атрибута "имя файла".
К сожалению, только NTFS (.
А, и с последней версии (насколько помню) - еще и метаданные файлов, таких как дата создания в Word, дата последнего сохранения, дата последней печати.
Т.е. у файла, теоретически, может быть 11 (!) временных штампов.

P.S. И про "троллинг" - информация вообще открытая (как Майкрософтом, так и Брайаном сами-знаете-фамилию).

P.P.S. И ваще, Кrec, я терпеливо отвечаю (иногда) на Ваши вопросы ( (с) Pruss), но, если Вы не удосужитесь ответить на то, почему я должен Вам Еще Раз Писать То Же Самое Почти-Один-К-Одному, то буду вынужден попросить Вас забанить. Извините ). Вы же не читали то, что я писал ранее (иначе этой ветки бы не было)?
Последний раз редактировалось Константин 27 дек 2011, 01:31, всего редактировалось 1 раз.
Константин
Член клуба
 
Сообщения: 495
Зарегистрирован: 26 июн 2008, 19:59
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Дата создания/изменения файла

Сообщение Константин » 27 дек 2011, 00:55

Krec, у Вас (скорее всего) возникнет вопрос: как влияют действия с файлами на атрибуты даты в "стандартной информации" и в "имени файла". И как их изменить вручную. Я знаю. Но не скажу. Завидуйте :)
Константин
Член клуба
 
Сообщения: 495
Зарегистрирован: 26 июн 2008, 19:59
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Дата создания/изменения файла

Сообщение Константин » 27 дек 2011, 01:02

Igor Michailov писал(а):Вообще, NTFS штука интересная, в том плане, что шаг в сторону, например в область файловых потоков (streams), и сюрпризы начинают выскакивать как чертик из табакерки.

Атрибут $Data в $MFT. Смещение от FILE0 описано в гугле (это т.н. потоки). Хотя... лучше логи NTFS просмотреть, если включены (в xP по умолчанию выключены, насколько я знаю).
Константин
Член клуба
 
Сообщения: 495
Зарегистрирован: 26 июн 2008, 19:59
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.


Вернуться в KREC

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron