Windows系统MACE时间取证
在电子数据调查取证过程中,时间是取证的重点,将不同介质或不同用户的操作行为按时间线性排列,有助于理清案件的发展脉络和案件的串并.但是操作系统中的时间属性信息异常复杂,任何操作都有可能引起时间值的改变,嫌疑人甚至可以通过伪造时间信息来逃避打击.对Windows操作系统中文件最常用的修改时间M(Modify time)、访问时间A(Accessed Time)、创建时间C(Created Time)和MFT记录修改时间E(Entry Time)进行分析,即将MACE时间作为分析对象,通过实验分析的方式,获悉常见文件操作时的MACE时间更新规律,并以此实现了时间行为分析,为Windows操作系统的时间取证提供依据.
时间取证 Windows系统 电子数据
张其前 孔浩吉 陈戍 金美顺
浙江警察学院计算机与信息技术系 杭州310053 浙江省公安厅物证鉴定中心 杭州310009
国内会议
南昌
中文
92-96
2017-11-18(万方平台首次上网日期,不代表论文的发表时间)