Qual é a precisão das datas de criação ou modificação de arquivos?

Metadados de arquivo (por exemplo, data de criação, última modificação, etc) geralmente são uma questão do sistema de arquivos e, portanto, podem ser modificados usando várias ferramentas de software. De fato, alguns sistemas de arquivos nem rastreiam a data de criação (por exemplo, ext3 no linux rastreia ctime, que é na verdade um tempo de troca de inode). Os metadados rastreados também variam de sistema de arquivos para sistema de arquivos - alguns sistemas de arquivos permitirão o rastreamento do último acesso, da última modificação, etc.

A facilidade de alterar esse "tempo de criação" (ou modificado pela última vez, acessado pela última vez, etc) pode variar de sistema de arquivos para sistema de arquivos, mas em geral esses registros de tempo não são 100% confiáveis.

Eu imagino que em um ambiente de tribunal, uma parte tentaria sugerir que os últimos tempos modificados são bons devido ao fato de o usuário ter certa habilidade, outros tempos de arquivo correspondentes, etc, enquanto a parte adversária tentaria apontar que tempos de arquivo podem ser falsificados. Não está claro para mim de que lado conseguiria convencer um juiz ou júri sobre o que provavelmente aconteceu, a menos que se encontre uma espécie de "arma fumegante" que mostre inconsistências com os timestamps (por exemplo, dois arquivos criados na mesma data têm datas variadas, ou cópias do arquivo foram enviadas por e-mail antes da suposta data de criação, etc.).

Não tenho conhecimento de nenhuma metodologia de hardware para rastrear modificações.

ISENÇÃO DE RESPONSABILIDADE: IANAL

a primeira regra da perícia é que todas as leituras são suspeitas se você as levar para a enésima, então você precisa sempre estabelecer um nível de razoabilidade pelo qual aceita as descobertas. Sim, as datas podem ser modificadas, mas é preciso um usuário bastante sofisticado para fazer isso, e elas quase certamente precisam de acesso físico ao sistema para fazê-lo.

Existem várias circunstâncias em que um computador precisa adivinhar melhor alguns atributos. Por exemplo, se eu copiar um arquivo do meu servidor de arquivos SAMBA para minha estação de trabalho, a data de criação do arquivo será a hora em que colei o arquivo, não a hora em que ele foi inicialmente criado. No meu caso, ele mantém o horário correto modificado, mas nem sempre é o caso.

Com sistemas de arquivos de registro no diário, você pode ter alguma evidência de que os metadados do arquivo foram modificados ou falsificados, mas isso implicaria que o sistema de arquivos estava no controle da modificação, o que é improvável. você deve sempre verificar o conteúdo dos backups e, talvez, o arquivo de paginação e o hiberfill.sys para procurar cópias dos dados do arquivo que discordam sobre a informação da data.

a longo prazo, se o suspeito estiver ou estiver ligado de alguma forma a um técnico ou atacante muito habilidoso, desconfie de datas. se eles mal souberem reconstruir janelas e não souberem o que é o linux, então as datas provavelmente estarão corretas, a menos que um agente externo esteja em jogo.

Quem possui ou tem acesso [físico] ao computador pode fazer o que ele quiser. Incluindo a criação de arquivos criados pela data.

A única maneira de um especialista determinar com certeza essa data é se o documento ou uma cópia dele foi armazenado em outro local em um local gerenciado por um terceiro confiável.

Por exemplo em algum lugar na nuvem e usando esses backups de provedores de nuvem para verificar as coisas. Ou enviado para alguém na data X, onde o destinatário sabe que foi criado na data ou antes de X.

Mas qualquer pessoa com acesso (remoto ou físico) a um computador pode alterar a data de criação aparente dos documentos. Eles podem não ter a habilidade para fazer isso, mas isso não é algo que qualquer tribunal aceitaria. (Semelhante a 'mas a sua honra. Eu não sei como funciona uma arma. Assim, eu não poderia ter atirado nele').