Windows 7, propriedades do arquivo - é “data acessada” SEMPRE 100% preciso?

6

Aqui está a situação: eu saí de férias por algumas semanas, mas antes de sair, peguei o disco rígido do meu computador e o escondi em um local diferente. Ao voltar na segunda-feira e colocar o disco rígido de volta em meu computador, cliquei com o botão direito do mouse em arquivos diferentes para ver suas propriedades. Curiosamente, vários arquivos foram acessados durante o tempo que eu fui embora! Cliquei com o botão direito em diferentes arquivos em vários locais no disco rígido e todos esses arquivos suspeitos foram acessados dentro de um determinado intervalo de tempo (domingo, 9 de janeiro de 2011, aproximadamente entre 18h52min16s - 7hs). : 16: 25 PM). Alguns deles foram acessados ao mesmo tempo - até o segundo exato. Isso me faz pensar que alguém deve ter feito uma pesquisa no meu disco rígido para certos tipos de arquivos e, em seguida, copiado todos esses arquivos para algum outro meio. A instalação do Windows 7 neste disco rígido é protegida por senha, mas NÃO criptografada, para que possam facilmente colocar o disco rígido em um compartimento / torradeira para acessá-lo de um computador diferente.

Claro que não cliquei com o botão direito em todos os arquivos no meu computador, mas fiz isso em pastas diferentes. Por exemplo, uma das pastas pelas quais passei tem diferentes tipos de arquivos: .mp3, prproj, .3gp, .mpg, .wmv, .xmp, .txt com tamanhos de arquivo de 2 KB a 29,7 MB (há também uma sub-pasta nesta pasta que contém apenas arquivos .jpg); entretanto, de todos esses tipos diferentes de arquivos nesta pasta e em sua subpasta, todos eles foram acessados (incluindo os arquivos .jpg da subpasta) EXCETO os arquivos .mp3 (se fizer alguma diferença, os arquivos .mp3 neste intervalo de pasta em tamanho de 187 KB para 4881 KB). Além disso, esta sub-pasta que continha apenas arquivos .jpg (48 arquivos .jpg para ser exato) não foi acessada durante esse tempo - somente os arquivos .jpg dentro dela foram acessados - (entre 6:57:03 PM - 6 : 57: 08 PM).

Pensei que talvez fosse algum tipo de falha do Windows que estava exibindo a data de acesso incorreta, mas olhei para a "data criada" e a "data de modificação" para todos esses arquivos em questão, e sua criação / modificação as datas e os horários foram corrigidos corretamente.

Meu primeiro pensamento foi que alguém colocou o disco rígido em um gabinete / torradeira e visualizou os arquivos; mas depois percebi que isso era impossível porque vários dos arquivos tinham sido acessados no mesmo horário exato até o segundo. Então isso me fez pensar que a única outra maneira que a "data acessada" poderia ter mudado seria se alguém copiasse os arquivos.

Existe alguma chance de que isso seja algum tipo de falha no Windows ou algo assim, ou é fato que alguém estava de fato acessando meus arquivos (e se alguém estava acessando meus arquivos, estou certo sobre os arquivos em questão? tendo sido copiado)? Existe alguma outra possibilidade para o que poderia ter acontecido?

Preciso usar algum tipo de ferramenta forense para investigar mais detalhadamente esse assunto (e, em caso afirmativo, quais ferramentas), ou existe alguma outra maneira pela qual eu possa ter certeza do que aconteceu naquele período de tempo na véspera voltou? Ou o que eu vejo com o Windows 7 é bom o suficiente (isto é, preciso e verdadeiro)?

    
por Robert 12.01.2011 / 08:03

2 respostas

9

Primeiramente, depende do sistema de arquivos na unidade. Provavelmente é NTFS (FAT sendo pior).

O tempo do último acesso em um volume NTFS não é muito preciso.

Esta é uma extração das páginas do MSDN sobre tempos de arquivo:

Not all file systems can record creation and last access times, and not all file systems record them in the same manner. For example, the resolution of create time on FAT is 10 milliseconds, while write time has a resolution of 2 seconds and access time has a resolution of 1 day, so it is really the access date. The NTFS file system delays updates to the last access time for a file by up to 1 hour after the last access.

Há muito mais informações aqui: link

Além disso, aqui: link

ftLastAccessTime A FILETIME structure.

For a file, the structure specifies when the file is last read from or written to.

For a directory, the structure specifies when the directory is created.

For both files and directories, the specified date is correct, but the time of day is always set to midnight. If the underlying file system does not support last access time, this member is zero.

Tudo isso me leva a pensar que o último tempo de acesso é em primeiro lugar bastante impreciso e, em segundo lugar, a gravação de uma atualização para a mídia pode ser adiada em até uma hora, tornando a confiabilidade deste atributo bastante suspeita. / p>     

por 12.01.2011 / 08:39
4

Eu uso os carimbos de data e hora do último acesso criados o tempo todo quando a solução de problemas de investigação de software é instalada. Tem sido muito preciso em meus usos em sistemas de arquivos NTFS .

Como algumas datas foram alteradas enquanto você estava ausente, presumo que tenha ocorrido vários dias a uma semana. Eu diria que alguém acessou esses arquivos.

Esses registros de data e hora, juntamente com outros dados, são usados por equipes de computação forense para reconstruir o que um usuário fez em um computador.

Hackers experientes usam software para alterar esses carimbos de tempo para cobrir seus rastros ao invadir sistemas de computador.

O último acesso é desativado por padrão no Windows 7 .

    
por 12.01.2011 / 17:35

Tags