|
取证中,有一个非常重要的参考系——时间。 如果没有时间,或者时间的证明有问题,那么取证获得一切电子证据很可能都是无效的。因此,关于时间的问题,衍生出了非常多种类的计算方式和衡量标准,较真起来还挺复杂的,如GMT时间、UTC时间、TAT时间、CMOS时间等等。 本期,我想讲的是——「时间戳」,在上期的取证概念集锦中我们提及过,但具体如何在取证中看待时间戳还需要好好认识一番。 
时间戳是一串表示日期和时间的字符,能够证明某事件真实发生的时刻。 时间戳的起源:实体章 定义就不多说了,我们还是掰开揉碎了来理解这么几点: 1.取证中的时间戳指的是电子时间戳(digital timestamp),即电脑等电子设备所记录的表示某事件发生的时间。(要知道,“时间戳”这个术语起初来源于办公室用于表示时间的实体盖章) 2.一般来说,所有的电脑系统都有时间戳,会在日志里或其他元数据中详细记录连续的事件发生时间。 3.时间戳有许多种,不同的系统时间戳的表达方式不同。 注意啦! Wendy在百度的时候发现了一处错误,如下图:  百度百科把Unix时间戳的定义弄成了时间戳的定义,请不要对号入座哦! 时间戳的表示方式很多,不仅仅有Unix时间戳,下图是多种时间戳的示例: 
上图中的时间戳大多我们很容易看懂,而Unix时间戳明显与其他几种不同,但确实是使用最为广泛的时间戳之一,大多数的Unix系统和Linux系统以及常见的Windows系统中,都会使用Unix时间戳。 鉴于它特殊的格式,所以我们来专门讲讲Unix时间戳。  Unix时间戳 Unix时间戳(Unix timestamp,也称POSIX time)指的是格林威治时间1970年01月01日00时00分00秒(北京时间1970年01月01日08时00分00秒)起至现在的总秒数,不考虑闰秒。 这个时间计算方式很有意思,以1970年1月1日00:00:00时为起始,过了多少秒就是什么时间。那么把我此时此刻的时间转换成Unix时间表达会是怎样的呢?  图为小编在6月25日测试的时间戳 大家可以自己尝试一下,把Unix时间和常用时间相互转换试试。 时间戳在线转换网站:http://www.beijing-time.org/shijianchuo/ 取证小Tips:
 时间戳解读工具 既然时间戳这么重要,又有多种表达方式,那么解读时间戳的工具必不可少。 这里给大家推荐一款绿色又免费的时间转换工具——Dcode。 免费下载网址: https://www./dcode/ 你可以选择不同的时间戳格式,然后根据需求选择相应的的时区进行转换。   这里给大家示范一个,很简单的,如下图: 
注意:时区的选择很重要,一定要注意取证检材的当地时区时间。 时间戳的提出,主要是为用户提供一份电子证据, 以证明用户的某些数据的产生时间。所以,在取证的分析全过程中,能灵活地判断和转换时间戳很重要。 关于Unix时间戳的尴尬事 由于UNIX时间戳的存储为32位,当叠加的秒数到了 2147483647秒(231 − 1秒)时,再过一秒就超过了32位,无法计算。也就是到了格林威治时间的2038年1月19日 03:14:07时,可能会引发计算机无法工作的问题,这被称为“2038年问题”或“Y2038”。 转自:数据安全与取证,原创:Wendy
|
|
|
