Se qualcuno ha copiato i file da un drive-1 a usb-drive-2, sembra che le directory e i file ottengano il tempo originale modificato dal drive-1 in alcuni casi e in alcuni casi no.
Può essere controllato se il file / directory è stato effettivamente copiato nell'unità in un secondo momento e non in "data modificata" che viene visualizzata sul drive USB-2?
Può essere controllato se il file / directory è stato effettivamente copiato nell'unità in un secondo momento e non in "data modificata" che viene visualizzata sul drive USB-2?
Il calpestamento della data è il problema. È una tecnica in cui il comportamento nefasto è mascherato modificando le date dei file. Ed è incredibilmente semplice - ecco un esempio su Windows in PowerShell:
(Get-Item '. \ somefile.lnk'). LastWriteTime = [datetime] "26/10/2018"
Con ciò detto e per ragioni di carattere forense, ci sono dei posti nel Sistema Operativo (su Windows) dove, sebbene non impossibile, è molto più difficile da modificare. C'è una tabella dei file master su Windows nella radice di C: \ $ MFT che è nascosta ma tiene traccia di tutti gli eventi dei file. Questi sono comunemente indicati come tempi MAC (modificati, accessibili, creati).
Ci sono strumenti in una serie di suite diverse per interrogare queste parti del file system e creare linee temporali ricercabili per eventi a livello di file - questo è spesso usato nella ricerca di malware. SANS ha una distro chiamata workstation SIFT dove gli strumenti forensi possono analizzare un disco offline o una copia del disco (tramite 'dd' o altre funzionalità di clonazione del disco). Ci sono anche costosi strumenti forensi che ti permettono di estrarre interattivamente queste informazioni da una macchina online. FTK, EnCase e il kit Sleuth sono probabilmente i più noti.
Tuttavia, traccia solo gli eventi tradizionali a livello di disco. Gli eventi di copia dei dispositivi USB non sono tracciati da Windows: per questo è necessario un software di terze parti. Con il software di cui sopra, tuttavia, è possibile ottenere una migliore percezione di ciò che è accaduto su drive-1 e correlare quindi i tempi MAC (tramite $ MFT) a ciò che Explorer sta dicendo per l'unità USB per farsi un'idea approssimativa.
'Sometimes' ha due versioni:
1. Versione1 - Copia i dati incollati assegna nuovi attributi temporali per modifiche, accesso e modifiche. 2. Versione2 - I dati di pasta tagliata avranno gli stessi valori MAC