【反计算机取证必看】Windows系统中文件时间属性的变化及影响因素.pdf

·技术交流·

Windows系统中文件时间属性的变化及影响因素

滕冲1，方靖然2，张国臣3(1．中国人民公安大学，北京

3．公安部物证鉴定中心，北京100038)

摘要： 目的 分析Windows系统中不同因素对文件时间属性的影响，总结文件时间属性的变化规律。方法

律并分析各种因素的影响。结果文件时间属性的更新与系统环境、操作方法、文件类型等因素有关，而且文

件时间属性更新有特定的周期。结论Windows系统中文件时间属性的变化既有特定的规律，又受其它因素

影响，在检验中应加以注意。

关键词： 电子物证检验；文件时间属性；MAC时间

中图分类号：DF793．2文献标识码：A文章编号：1008—3650(2009)05—0003-03

and factorsoffiletimeattributeinWindows

influencing System

Change

TENG Guo-chen(ChinesePublic 100038，

Chong，FANGJing-ran，ZHANG People'sSecurityUniversity，BeUing

China)一

ABS．rRACT： To theinfluenceofdifferentfactorsonfiletimeattributeinWindowsandsurfllTla—

objectiveanalyze system

Method in

rizethe offiletimeattributB allkindsof onfilesandfoldersbothNTFSandFAT32file

changes Apply operations

the offiletimeattributeandthenconcludethe andotherinfluencingfactors．ResultThe

systems。recordchange pattern update

offiletimeattributeisaffected environment，different offilesand otherfactors，andthereis

bysystem operations，thetype many

a oftimebetweeneach T11e offiletimeattributefollowsacertain andisalso

specialperiod updating．Conclusionchange pattern

someotherfactorsthatmustbe inexamination．

influencedby respected

KEYWoRl)s：electronicforensics；filetimeattribute；MAC_time

随着电子技术的迅速发展，信息化、数字化进程 和管理方式都是不同的。

加快，使得电子物证在侦查和诉讼中的地位越来越重

要。特别是计算机中文件时间属性的检验，很多情况 录登记项中。每个目录臀记项的大小为32字节，其

下可以为案件的侦查和审判提供精确的时间信息。 中第14至18字节记录了文件的创建时间；第19、20

文件的时间属性常随某些因素发生变化，本文通过实 字节记录了最后一次访问时间；第23至26字节记录

验的方法，针对Windows系统巾影响文件时间属性

了最后一次修改时间[3。。FAT32对文件时间属性的

变化的因素进行分析，总结出文件时间属性变化的一 管理是基于系统的本地时间的，也就是说目录登记项

般规律，为时间属性的