发明 一种基于时间属性的数字取证分析鉴别方法
数据安全 信息安全 数据分析 【数据安全 信息安全 数据分析】 1人
G06F21/62 G06F21/64
摘要:本发明涉及一种基于时间属性的数字取证分析鉴别方法,属于信息安全领域。首先,提取电子数据并解析文件元数据包含的时间戳信息。然后,根据常见操作对文件时间戳的影响规则对文件进行基础性判断。再然后,进一步地基于$LogFile判断$MFT时间创建记录是否有被篡改的可能。接着,基于$USNjrnl判断$MFT时间修改记录是否被篡改的可能。其次,基于Prefetch files记录的时间戳判断是否有时间伪造工具使用痕迹。最后,基于Link files记录的时间戳判断$MFT时间是否被篡改。本发明有助于案件中对单一证据的不确定性进行真实性鉴别,提高取证分析结果的可信性。
