文件类型,怎么更改文件类型

!
,")*'( 文件是存储介质#磁盘%光盘%闪存%磁带$上具有符号名字的一组相关信息的集合"电子物证实践中出现的证据类型就包括文档文件%声音文件%图像文件%数据库文件%网页文件%电子邮件%视频文件%即时通信类文件等"因此!
对于文件基础知识的介绍对于电子物证实践来说是十分必要的" !
$"!
!
!
文件类型!
!
5"!
"!
!
R;&'(S-环境下的主要文件类型总体来讲!
P),-+\=操作系统支持的文件类型基本上可以分为两种'D&#>>#也称纯文本$文件和二进制文件" D&#>>文件是指以D&#>>码方式#也称文本方式$存储的文件"D&#>>文件中除了存储文件有效字符信息#包括能用D&#>>码字符表示的回车%换行等信息$外!
不能存储其他任何信息!
因此D&#>>文件不能存储声音%动画%图像%视频等信息"该类型文件是一种由若干行字符构成的!
存在于计算机系统中!
能够用文字处理程序阅读的简单文本文件!
通常在其最后一行放置文件结束标志" 广义的二进制文件即指文件!
由文件在外部设备的存放形式为二进制而得名"狭义的二进制文件即除文本文件以外的文件"图形文件及文字处理程序等计算机程序都属于二进制文件"这些文件中均含有特殊的格式及计算机代码" 5"!
"2!
8OJGKT;&@F环境下的主要文件类型 %B>S*:),.8则将其支持的文件划分为普通文件%目录%字符设备文件%块设备文件%符号链接文件等多种类型!
现在进行简要的说明" !
"普通文件 !
!
V95d@?
=:@>?
E5%Xe@E`@>E4E56;*@?
] `9_`9``9``#9595"0f%0`#/%'("&E4E56;*@?
] 用5=G5A查看某个文件的属性!
可以看到有类似G0\G0GG0GG!
值得注意的是第一个符号是G!
这样的文件在:),.8中称为普通文件"这些文件一般是用一些相关的应用程序创建!
例如图像工具%文档工具%归档工具或*4工具等"这类文件可以用0(命令删除" !
电子物证技术基础目录文件 !
!
V95d@?
=:@>?
E5%Xe@E`@> `9_`9``9``#9595"0f%0`#/%'("&E4E56;*@?
]`9_`9``9``#9595#&3%0`#/%-("0#$0&*9Y;P9_79`79`7$9595&*%f%&`#g#%("0@_>PC9P9_79`79`7$9595&*%f%0`#-%&($"hTZ@C= 当在某个目录下执行5=G5A命令!
看到有类似-0\80G80G8!
这样的文件被称为目录文件!
目录文件在:),.8是一个比较特殊的文件"注意它的第一个字符是-"创建目录的命令可以用(I-)0命令或*4命令!
*4可以把一个目录复制为另一个目录&删除则用0(或0(-)0命令" #字符设备或块设备文件如进入*-'Z目录!
列出文件!
会看到类似如下的' !
!
V95d@?
=:@>?
E5%Xe@E`@:UP6SU554 =9_`9_`9_`#95554"i%%&`#g%'($gUP6SU554V95d@?
=:@>?
E5%Xe@E`@:UP6SU>P:#Z9_`9`````#95PCE[0i#%/`%&`#gUP6SU>P:# 可以看到*-'Z*//2的属性是*0\G0\G0\G!
注意前面第一个字符是*!
这表示字符设备文件!
例如(+-'(等串口设备"而*-'Z*A-6"的属性是J0\G0GGGGG!
前面的第一个字符是J!
这表示块设备!
例如硬盘%光驱等设备"这种类型的文件可以用(
I,+-'来创建!
用0(来删除" $套接口文件当启动12&d:服务器时!
会产生一个(2=i5N=+*I的套接口文件"注意这个文件的属性的第一个字符是=" !
!
V95d@?
=:@>?
E5%Xe@E`@>;4Ej@*E?
=[ E9_79_79_7#;4Ej@;4Ej@%%&`#g##(#$;4Ej@*E?
=[ %符号链接文件 !
!
V95d@?
=:@>?
E5%Xe@E`@>E65TY*@?
] @9_79_79_7#9595##%&`#g##(#'E65TY*@?
]`ACDE5:@@*@?
] 当查看文件属性时!
会看到有类似50\80\80\8!
注意第一个字符是5!
这类文件是链接文件!
是通过(
5,G=源文件名新文件名)建立的"上例表示='/.4N5+;是),=/655N5+;的软链接文件!
这和P),-+\=操作系统中的快捷方式有点相似" 符号链接文件的创建方法举例' !
!
V95d@?
=:@>?
E5%Xe@E`@>[69D6@`$*/*#"`#*$%$"L2."*C/'/*9Y; `9_`9``9``#9595#&3%0`#/%-("0[69D6@`$*/*#"`#*$%$"L2."*C/'/*9Y;V95d@?
=:@>?
E5%Xe@D`E[69D6@`$*/*#"`#*$%$"L2."*C/'/*9Y;[69D6@*9Y; () 第U章!
文件基础!
V95d@?
=:@>?
E5%Xe@E`@>[69D6@%`9_`9``9``#9595#&3%0`#/%-("0[69D6@`$*/*#"`#*$%$"L2."*C/'/*9Y;@9_79_79_7#959500%&`#g##($-[69D6@*9Y;`A[69D6@`$*/*#"`#*$%$"L2."*C/'/*9Y; !
$"#!
!
文件扩展名!
!
!
!
文件扩展名是操作系统用来标志文件格式的一种机制"每个文件的名中最后一个分隔符后边的部分#文件可以无扩展名$就是文件的扩展名"通常文件扩展名由U个或H个不同的字符组成!
可以是数字%字母或符号"例如!
(6J*N"@UN/8/)的文件名中!
6J*N"@U即为主文件名!
/8/为扩展名!
表示这个文件被标识为纯文本文件"文件扩展名可以帮助计算机使用者辨别文件的类型!
也可以帮助计算机将文件分类!
并标识这一类扩展名的文件用何种程序去打开" 5"2"!
!
R;&'(S-环境下的文件扩展名在,我的电脑-或,资源管理器-窗口中!
单击菜单栏上的,工具-",文件夹选项-!
在出现的,文件夹选项-对话框中单击,查看-选项卡!
之后可以使用鼠标拖动滚动条找到,隐藏已知文件类型的扩展名-选项!
勾选即为隐藏%不勾选即为不隐藏已知文件类型的扩展名#如图UN"所示$" 图UN"!
,查看-选项卡中的扩展名相关选项需要指出的是!
有些木马文件#可运行!
扩展名为'8'$会伪装成图片文件或其他类型的文件"如某一木马文件名为,美女写真N?
4;
N '8'-!
其图标也被更换为?
4;图片图标"在,隐藏已知文件类型的扩展名-的情况下!
其文件名会显示为,美女写真N?
4;-!
极容易使用户误认为其就是图片文件"双击运行后!
虽然可能会显示图片!
但木马程序却已经悄悄在后台安装运行!
因此建议一般情况下显示文件扩展名为好" P),-+\=支持的文件扩展名数量较多!
常见的系统文件扩展名主要包括E::#动态链接库文件$%1$E#驱动程序K7S3D&9或K7S$C7过程文件$%#L1#编译过后的 L<1:文件!
常用于制作帮助文件和电子文档$%QS<#网卡驱动程序文件$% L:$#P),-+\=应用程序帮助文件$%ECQ#设备驱动程序文件$%QSE#虚拟设备驱动程序$%K7B#系统字体文件$%&#$#用于P),-+\=系统中>,/'
0,'/拨号用户!
自动拨号登录用的脚本文件$%>BK#P),-+\=下的软件安装信息!
P),-+\=的标准安装程序根据此文件内的安装信息对软件%驱动程序等进行安装$%<>K#标签图像文件格式位图$%&e&#系统文件%驱动程序等$%1&B#1)*0+=+M/网络文档$%#B<#联机帮助文件目录索引文件!
通常和同名的NA54文件一起保存$%>#1#图像配色描述文件$%3D<#批处理文件!
由一系列命令构成!
可以包含对其他程序的调用$%#1E#用于P),-+\=B<*@!
!
!
等系列的批处理文件$%]3E#键盘布局文件$%&#C#P),-+\=屏幕保护文件$%$3]#1)*0+=+M/ (* !
电子物证技术基础中的初始化信息文件控制面板扩展文件日$A+,'3++I$%>B>#P),-+\= $%#$:# $%:7_# 志文件$%$P:#P),-+\=口令文件$%<1$#临时文件!
一般是系统和应用程序产生的临时使用的文件!
当系统和应用程序退出时!
会自动地删除其建立的临时文件&如果非正常退出!
临时文件可能保留在磁盘上$等" 常见的应用程序扩展名主要包括D>K#音频文件!
使用P),-+\=1'-)6$562'0播放压缩文件可以使用$%DC`# !
P),b)4%P),CDC%$]DC# 等软件打开$%D&$#D*/)Z' &'0Z'0$6;'!
服务器端脚本!
常用于大型网站开发!
支持数据库连接$%DQ>#使用 1)*0+=+M/C>KK规范的P),-+\=多媒体文件格式!
用于存储声音和移动的图片$%3D] #备份文件!
一般是被自动或是通过命令创建的辅助文件!
包含某个文件的最近一个版本!
并且具有与该文件相同的文件名$%3>B#二进制文件!
其用途依系统或应用而定$%31$ 位图文件中的图像声音文件中的字处理#3)/(64 $%ED<#Q#
E $%E7##1)*0+=+M/7MM)*' 软件P+0-创建的文档$%E7<#1)*0+=+M/P+0-文档模板文件$%9S9#可执行文件$% L<1#保存超文本描述语言的文本文件!
用于描述各种各样的网页!
可使用各种浏览器打开$%>#7#P),-+\=图标文件$%>1_#磁盘映像文件$%`$_#静态图像专家组制定的静态图像压缩标准!
具有较高的压缩比$%:B]#快捷方式文件$%1E3#1)*0+=+M/D**'==使用的数据库格式$%19B#内存应用文件!
存在于EJ6='%K+8J6='%K+840+系列软件环境下$% 1$U#采用1$9_G":62+./U标准压缩的音频文件!
具有极高的压缩率和失真低的特点$%1$_#采用1$9_G"标准压缩的视频文件$%7Q:#由于软件功能多!
内存偏小!
不能一次性全部调入内存的可执行文件可能有同文件名的7Q:文件$%$EK#图文多媒体文件!
D-+J'公司定义的电子印刷品文件格式$%&d:#查询文件!
在EJ6='%K+8J6='%K+840+ 系列软件环境下使用$%&PK#K56=A制作出的动画文件$%%C:#>,/'
0,'/上%C:地址的快捷方式$%Q#E#虚拟光驱工具制作的光盘镜像文件$%CDC#压缩文件$%KDS#传真类型图像$%_L7#B+0/+,克隆磁盘映像$%B:3#706*5'数据库文件$%&KS#CDC自解压档案文本文件演示文稿文$%5 件$%b>$#压缩文件$等" 5"2"2!
8OJGKT;&@F环境下的文件扩展名在P),-+\=系统中可以把文件的扩展名理解为文件的(身份证)!
扩展名决定了文件类型和作用!
系统通常会根据扩展名选择对应的应用程序"但在%B>S*:),.8环境下!
扩展名并没有太大的实际意义"在:),.8下扩展名是一个可选项!
很多文件根本没有扩展名!
所以纯粹采用文件扩展名的方式来判断文件类型是不行的"为了准确判断文件类型!
:),.8一般采用两种方式'优先采用16;)*方式!
其次才采用文件扩展名方式"所谓16;)*方式!
就是根据文件内容#特别是文件头$来判断"绝大多数文件!
内部都有一些特定的标记!
这些标记称为16;)*"例如31$图片文件通常以31两个字符开头!
31就是该类型文件的16;)*" 虽然在%B>S*:),.8中扩展名没有什么实际的帮助!
但是可以通过扩展名了解文件的种类!
所以:),.8通常还是会以适当的扩展名来表示该文件的类型!
下面枚举几个常用的文件扩展名' N=A'批处理文件#&*0)4/=!
脚本$!
因为批处理文件使用=A'55写成!
所以扩展名为 (!
第U章!
文件基础!
标准网页相关的文件网页文件的压缩文件N=A&NA/(5' &N4A4'$L$&NJa@'Ja)4@ &N;a' ;a)4的压缩文件&N/60'/60打包文件#是包文件不是压缩文件$&N/Ja'/60打包并用压缩的文件打包并用压缩的文件文件图像文Ja)
4 &N/;a'/60 ;a)
4 &N6.'
6.-)+&N;)M';)
M 件&N?
4;'`$9_图像文件&N4-M'电子文档#$EK格式的$&N4,;'$B_图像文件&N4=' 文件打印格式文件纯文本文件文件图像文4+=/=*),4/# $&N/8/' &N\6Z'
6.-)+&N84(' 件&N*+,M'配置文件&N5+*I':7#]文件#用来判断一个文件或设备是否被使用$&N04(' $6*I6;'文件#套件包或软件包$&N*'#源程序代码文件&N*44'#源程序代码文件& NA'#或#程序的头文件&N+'程序目标文件&N45'4'05脚本文件&N=+'类库文件" !
$"$!
!
文件访问控制!
!
5"5"!
!
R;&'(S-操作系统的文件访问控制机制目前!
P),-+\=操作系统主要通过B利用P),-+\=S$中的访问控制列表!
可以对访问计算机数据或网络数据的人加以限制"访问控制功能可用于对特定用户%计算机或用户组的访问权限进行限制" 设置权限!
即定义了授予用户或组的权限类型或访问级别"例如!
可以向某个组授予对某一特定文件夹的读写权限&也可以允许某个用户读取某个文件的内容!
而允许另一个用户更改该文件!
并禁止其他用户访问该文件"对打印机也可以设置类似的权限!
从而使某些用户能配置打印机!
而其他用户则只能利用它进行打印"若要更改对某个文件或文件夹的权限!
则必须是该文件或文件夹的所有者!
或者必须具有进行这种更改的权限" P),-+\=操作系统下如要进行文件访问控制!
首先需要清除,文件夹选项-",查看选项卡,高级设置-中的,使用简单文件共享#推荐$-选项!
如图UN@所示" 这样在B右键单击文件或文件夹!
弹出的,属性-窗口中便会出现,安全-选项卡#如图UNU所示$"从中可以看出对话框上半部分列出了与所选文件或文件夹相关的用户或组!
下半部分列出了所选组或用户对所选文件或文件夹所具有的权限" 图UN@!
清除,使用简单文件共享#推荐$-设置图UNU!
(安全)选项卡示例 (" !
电子物证技术基础从图UNU所示可以看出!
P),-+\=系统环境下的文件或文件夹访问权限主要有以下几种'#"$完全控制#@$修改#U$读取和运行#H$列出文件夹目录#T$读取#F$写入#Y$特别的权限值得一提的是第Y项,特别的权限-"标准B但如果用户要更精确地指派权限!
以便满足各种不同的权限需求!
就需要借助于特别访问权限"在文件或文件夹属性的,安全-选项卡中单击,高级-按钮"在,高级-对话框中的,权限-选项卡中!
选择要设置的账户!
单击,编辑-按钮!
打开如图UNH所示的,权限项目-对话框!
可以更精确地设置用户的权限"从图UNH中可以看出(特别的权限)共有"U项#不含,完全控制-$!
组合在一起就构成了标准的B标准的,读取-权限包含,读取数据-%,读取属性-%,读取权限-和,读取扩展属性-H种特别访问权限"有两个特别访问权限对于管理文件和文件夹的访问来说图UNH!
(特别的权限)设置特别有用',更改权限-与,取得所有权-"更改权限'为某用户授予该权限!
该用户就具有了针对文件或者文件夹修改权限的功能"借助于更改权限!
可以将针对某个文件或者文件夹修改权限的能力授予其他管理员和用户!
但是不授予他们对该文件或文件夹的,完全控制-权限"通过这种方式!
这些管理员或者用户不能删除或者写入该文件或者文件夹!
但是!
可以为该文件或者文件夹授权"为了将修改权限的能力授予管理员!
将针对该文件或者文件夹的,更改权限-权限授予D-(),)=/06/+0=组即可" 取得所有权'为某用户授予这一权限!
该用户就具有了取得文件和文件夹的所有权的能力"借助于该权限!
可以将文件和文件夹的拥有权从一个用户账号或者组转移到另一个用户账号或者组"也可以将,取得所有权-这种能力给予某个人!
管理员也可以获得某个文件或者文件夹的所有权"在取得某个文件或者文件夹的所有权时!
应当遵循以下规则'当前的拥有者或者具有,完全控制-权限的任何用户!
可以将,完全控制-这一标准权限或者,取得所有权-这一特殊访问权限!
授予另一个用户账户或者组"这样!
该用户账户或者该组的成员就能获得所有权"D-(),)=/06/+0=组的成员可以取得某个文件或者文件夹的所有权!
而不管该文件夹或者文件授予了怎样的权限"如果某个管理员取得了所有权!
则D-(),)=/06/+0=组也取得了所有权"因而该管理员组的任何成员都可以修改针对该文件 (# 第U章!
文件基础!
或者文件夹的权限!
并且可以将(取得所有权)这一权限授予另一个用户账号或者组" 如果要为,组或用户名称-列表框中未出现的组或用户设置权限!
单击,添加-!
出现如图UNT所示的对话窗口"在图UNT的输入框中输入要为其设置权限的组或用户的名称!
单击,确定-按钮即可"需要指出的是!
添加新用户或组时!
该用户或组将默认具有读取和执行%列出文件夹内容及读取权限"如果要更改或删除现有组或用户对所选文件或文件夹所拥有的权限!
可以单击组或用户的名称!
并执行下列操作之一'若要允许或拒绝某种权限!
选中或清除,权限-列表框中的相应权限的,允许-和,拒绝-复选框"单击,确定-按钮!
即可完成&若要删除组或用户名称框中的组或用户!
则单击,组或用户名称-列表框中欲删除的组或用户!
然后再单击,删除-按钮即可" 图UNT!
为文件访问控制添加组或用户 5"5"2!
T;&@F操作系统的文件访问控制机制 %B>S*:),.8系统中的每个文件和目录都有访问许可权限!
用它来决定哪个用户可以通过何种方式对文件和目录进行访问和操作"文件或目录的访问权限分为只读%只写和可执行三种"以文件为例!
只读权限表示只允许读其内容!
而禁止对其做任何的更改操作"可执行权限表示允许将该文件作为一个程序执行"文件被创建时!
文件所有者自动拥有对该文件的读%写和可执行权限!
以便于对文件的阅读和修改"用户也可根据需要把访问权限设置为需要的任何组合" 有三种不同类型的用户可对文件或目录进行访问'文件所有者%同组用户%其他用户"所有者一般是文件的创建者"所有者可以允许同组用户访问文件!
还可以将文件的访问权限赋予系统中的其他用户"在这种情况下!
系统中每一位用户都能访问该用户拥有的文件或目录" 每一文件或目录的访问权限都有三组!
每组用三位表示!
分别为文件属主的读%写和执行权限&与属主同组的用户的读%写和执行权限&系统中其他用户的读%写和执行权限"当用5=G5命令显示文件或目录的详细信息时!
最左边的一列为文件的访问权限"例如' !
!
G@E`@@T?
_6D>T:*5]^ `9_`9``9``#9595&'0gg-kT#@"#-(0@@T?
_6D>T:*5]^ 横线代表空许可"0代表只读!
\代表写!
8代表可执行"这里共有"!
个位置"第一个字符指定了文件类型"通常意义上!
一个目录也是一个文件"如果第一个字符是横线!
($ !
电子物证技术基础表示是一个非目录的文件&如果是-则表示是一个目录"根据上述描述可知!

5.+\',A.6N/;a是一个普通文件&
5.+\',A.6N/;a的属主有读写权限&与
5.+\',A.6N/;a属主同组的用户只有读权限&其他用户也只有读权限" 确定了一个文件的访问权限后!
用户可以利用:),.8系统提供的*A(+-命令来重新设定不同的访问权限!
也可以利用*A+\,命令来更改某个文件或目录的所有者!
或利用*A;04命令来更改某个文件或目录的用户组" *A(+-命令用于改变文件或目录的访问权限"该命令有两种用法'一种是包含字母和操作符表达式的文字设定法&另一种是包含数字的数字设定法" 文字设定法文件名!
!
=>;?
PV_>?
XVlm`mnXV;?
P6X 命令中各选项的含义分别如下"#"$操作对象\A+可是下述字母中的任一个或者它们的组合'.表示(用户#.='0$)!
即文件或目录的所有者&;表示(同组#;0+.4$用户)!
即与文件属主有相同组>E的所有用户"+表示(其他#+/A'0=$用户)&6表示(所有#655$用户)!
它是系统默认值"#@$操作符号可以是'R添加某个权限&[取消某个权限&W赋予给定权限并取消其他所有权限#如果有的话$"#U$设置(+-'所表示的权限可用下述字母的任意组合'0可读!
\可写!
8可执行"需要注意的是!
只有目标文件对某些用户是可执行的或该目标文件是目录时才追加8属性&=在文件执行时把进程的属主或组>E置为该文件的文件属主"方式(.R=)设置文件的用户>E位!
(;R=)设置组>E位&/保存程序的文本到交换设备上&.与文件属主拥有一样的权限&;与和文件属主同组的用户拥有一样的权限&+与其他用户拥有一样的权限"#H$文件名'需要改变访问权限的文件列表!
支持通配符"命令*A(+-;R0!
+R0'86(45'所完成的功能就是使同组和其他用户对文件'86(45'有读权限" 数字设定法首先需要了解用数字表示的属性的含义'!
表示没有权限!
"表示可执行权限!
@表示可写权限!
H表示可读权限!
然后将其相加"所以数字属性的格式应为三个从!
到Y的八进制数!
其顺序是#.$#;$#+$" 例如!
如果想让某个文件的属主有(读*写)两种权限!
则H#可读$R@#可写$WF#读*写$"数字设定法的一般形式为*A(+-2(+-'3文件名"例如命令*A(+-YHH'86(45'所完成的功能就是使同组和其他用户对文件'86(45'有读权限" *A+\,命令则用于更改某个文件或目录的属主和属组"例如0++/用户把自己的一个文件拷贝给用户:PL!
为了让用户:PL能够存取这个文件!
0++/用户应该把这个文件的属主设为:PL!
否则用户:PL无法存取这个文件" 语法' (% 第U章!
文件基础!
!
!
=>?
_DV选项X用户或组文件说明'*A+\,将指定文件的拥有者改为指定的用户或组!
用户可以是用户名或用户 >E!
组可以是组名或组>E"文件是以空格分开的要改变权限的文件列表!
支持通配符" 该命令的各选项含义如下'GC递归式地改变指定目录及其下的所有子目录和文件的拥有者显示命令所做的工作如是将文件&GZ*A+\, "(*A+\,:PL'
5.+\',A.6"N/8/) 的属主设为属组设为是将当前目录"N/8/
5.+\',A.6!
:PL&(*A+\,GC:PL'.='0=%) 下的所有文件与子目录的属主皆设为.='0=!
属组设为:PL" *A;04命令则用于改变文件或目录所属的组" 语法' !
!
=>]9Y选项VX]9?
TYBC@6D:;
6 说明'该命令改变指定文件所属的用户组"其中;0+.4可以是用户组>E!
也可以是*'/**;0+.4文件中用户组的组名"文件名是以空格分开的要改变属组的文件列表!
支持通配符"如果用户不是该文件的属主或超级用户!
则不能改变该文件的组"(*A;04:PL/'=/N/8/)功能是将文件/'=/N/8/的属组改为更改为:PL" !
$"%!
!
文件时间属性!
!
!
!
时间信息是电子物证的基础检查部分!
因为案件的焦点常常会集中到时间问题上!
时间是连接现实世界的实质!
通过时间可以确认可疑文件何时被建立%修改和最后访问"通过对文件时间属性的研究分析!
可以收集犯罪证据和为破案提供依据!
从而确定侦查范围!
制定侦查计划!
采取侦查措施"因此!
文件时间属性的研究分析在电子物证中具有极为重要的作用" 5"6"!
!
R;&'(S-环境下的文件时间属性 !
"R;&'(S-系统时间提取 !
!
在对P),-+\=时间信息的分析中有两种方法可以提取系统时间!
但是两者有所差别"第一种方法可以通过终端输入-6/'!
查看系统日期!
通过/)('查看系统时间!
上述操作中可以对系统时间进行提取!
同时也可以修改系统时间!
如图UNF所示" 第二种方法是直接单击,开始-&,控制面板-,时钟语言和区域-,日期和时间-!
如图UNF!
使用/)('命令提取系统时间 & & 图UNY所示" 实践中!
这样提取的时间不一定准确!
因为嫌疑人有可能将系统时间修改!
以至系统时间和文件的创建时间%访问时间%修改时间可能不一样!
所以在计算机犯罪现场提取时间信息时必须小心谨慎"以免造成证据的丢失" (& !
电子物证技术基础图UNY!
利用控制面板提取系统时间常见文件时间属性当文件被建立%修改和访问的时候!
系统就会在文件系统中记录时间"KD<时间格式则是基于当地时间#5+*65/)('$存储的!
所以它们不会因为时区或者夏时制被改变!
而 B因此容易因为时区更改或者夏时制的原因被改变" 常见文件系统中的时间属性一般分为如下三种!
分别为创建时间%修改时间%访问时间" 创建时间#"$ ##0'6/'/)('$ 文件第一次被创建或者写到磁盘上的时间!
如果文件复制于其他的地方!
创建时间就是复制的时间" 修改时间#@$ #1+-)M)'-/)('$ 应用软件对文件内容作最后修改的时间#打开文件!
任何方式的编辑!
然后写回磁盘$!
如果文件复制于其他的地方!
这个时间不变" 访问时间#U$ #D**'=='-/)('$ 某种操作最后施加于文件上的时间!
包括单击查看属性%复制%用查看器查看%应用程序打开或打印"几乎所用的操作都会重置这个时间#包括资源管理器!
但-)0命令不会$" #常用文件系统中的时间提取 #"$KD<文件系统下时间信息提取结合KD<文件系统存储格式!
在P>BL9S软件中打开检查!
如图UNV所示"在根目录中可以看到名为("/!
Y!
"U!
!
VTV@^)的文件夹"运行十六进制编辑软件找到图UNV中创建时间的"!
毫秒位与创建时间位置!
可以得到图UN^中!
8!
VH9所显示的信息!
然后将选中区域进行格式转换!
提取到文件的具体创建时间%最后访问和修改时间分别为@!
"!
GFG"""F'!
"'HH%@!
"!
GFG"""F'!
"'HF%@!
"!
GFG"""F'!
"'HF" (' 第U章!
文件基础!
图UNV!
检查KD<文件系统目录结构图UN^!
("/!
Y!
"U!
!
VTV@^)文件夹的文件时间属性提取 #@$BBL9S打开B在1K<文件表中找到待检盘中存有"@UN-+*和HTFNJ(4两个文件的对应目录项!
如图UN"!
所示" 图和目录项UN"!
!
("@UN-+*)(HTFNJ
(4) (( !
电子物证技术基础根据1K<文件属性结构可知!
文件的时间属性存放在该目录项的!
8!
V%!
8@H之间 #如图UN""所示$!
将对应的二进制块导出"分析阴影部分#即!
8!
V%!
8@H$二进制数值!
将其转换成FH位P),-+\=时间!
如图UN"@所示" 图二进制块和导出UN""!
("@UN-+*)(HTFNJ
(4) 图的时间属性和提取文件UN"@!
("@UN-+*)(HTFNJ
(4) 根据1K<文件结构!
从图UN"@中可以分析出("@UN-+*)的创建时间为@!
"!
GFGY"H' 修改时间为变化时间为文件的访问UH'@V% @!
"!
GFGY"H'UH'@V%1<
K @!
"!
GFGY"H'UH'UU% 时间为的创建时间为修改时间为@!
"!
GFGY"H'UH'@V"(HTFNJ
(4) @!
"!
GFGY"H'UH'@V% @!
"!
GFGY"H'UH'@V%1<
K 变化时间为文件的访问时间为@!
"!
GFGY"H'UH'@V% @!
"!
GFGY "H'UH'@V"由于\),FH位时间以%<#时间为标准时间!
因此在此基础上加上时区V小时即为真实的文件属性时间" 5"6"2!
T;&@F环境下的文件时间属性时钟分为系统时钟和硬件简称时钟:),.8 #&2=/'(#5+*I$ #C'65<)('#5+*I!
C<#$" 系统时钟是指当前:),.8]'
0,'5中的时钟!
而硬件时钟则是主板上由电池供电的时钟!
硬件时钟可以在3>7&中进行设置"在引导期间!
:),.8将系统时钟设置成与硬件时钟同步"在这以后!
两个时钟都独立地运行":),.8维持着自己的时钟!
因为读取硬件时钟速度较慢并且也比较复杂":),.8的内核时钟总以世界时钟#%<#$的方式显示"整个地球分为@H个时区!
每个时区都有自己的本地时间"在国际无线电通信场合!
为了统一起见!
使用一个统一的时间!
称为通用协调时#%<#' %,)Z'0=65<)('#++0-),6/'-$"%<#与格林尼治平均时一样都与英国伦敦#_1<'_0'',\)*A1'
6,<)('$!
的本地时间相同"通常!
进行时间检查的第一步就是要确定系统所使用的时区":),.8的时区信息存放在文件夹中如图所示即为某(*'/**=2=*+,M);**5+*I) !
UN"
U 图某系统中的UN"U!
:),.8 *5+*
I :),.8系统中的*5+*I文件的具体内容!
从图UN"U中可以看出目前该系统使用的是亚洲上海时区" 文件的具体内容与时区信息相关的具体文件存放在(*.=0*=A60'* a+,'),M+)文件夹中!
如图UN"H所示的是其D=)6子文件夹中的内容!
即亚洲时区信息"若 *)) 第U章!
文件基础!