Tempos MAC NTFS em Hexadecimal

Question

Tempos MAC NTFS em Hexadecimal

Navegue suas respostas

#1 resposta do (0 votos)
#2 resposta do (0 votos)

1

Estou usando o EnCase e um editor Hex para analisar uma unidade virtual.

O EnCase diz que este é o hexadecimal: 5FBF60C54F2CCF01

é a data / hora (mm / dd / aa): 02/17/14 09:18:54 (PM)

Já trabalhei com data / horários com sucesso antes, mas não posso corresponder ao acima.

Se alguém puder confirmar que o EnCase está correto e explicar isso para mim, isso seria esplêndido.

ntfs timestamp filesystems forensics hexadecimal

por Andrew 21.01.2015 / 22:15

2 respostas

0

Você pode resolver o quebra-cabeça no WinDbg. Basta iniciar qualquer programa e anexá-lo a ele.

Em seguida, escreva seus dados em algum lugar na memória:

0:001> eq 7731000c  5FBF60C54F2CCF01

e interpretá-lo como ole32! FILETIME

0:001> dt ole32!FILETIME 7731000c  
 Feb 20 16:57:50 23464
   +0x000 dwLowDateTime    : 0x4f2ccf01
   +0x004 dwHighDateTime   : 0x5fbf60c5

Como você pode ver, está longe no futuro.

No entanto, é provável que o EnCase exiba os valores em bytes, conforme escrito no disco, para que você tenha um problema de LSB / MSB. Vamos inserir os dados em bytes:

0:001> eb 7731000c 5F BF 60 C5 4F 2C CF 01

Saída no formato de 64 bits, observe que os bytes estão na ordem inversa agora.

0:001> dq 7731000c  L1
7731000c  01cf2c4f'c560bf5f

Interpretar como FILETIME:

0:001> dt ole32!FILETIME 7731000c
 Feb 18 02:18:54 2014
   +0x000 dwLowDateTime    : 0xc560bf5f
   +0x004 dwHighDateTime   : 0x1cf2c4f

Não sei por que está desligado por algumas horas, no entanto. Talvez seja um problema de fuso horário.

por 24.01.2015 / 00:07

Tags ntfs timestamp filesystems forensics hexadecimal

Top -l retornando sempre 0.0 uso da CPU ao solicitar um único PID Alterando o nome em um disco rígido que vem de uma SAN

score 0 · Accepted Answer

Se aqui . ("Interpretation of NTFS Timestamps", do forensicfocus.com)

NTFS file timestamps, according to the documentation of the ‘FILETIME’ data structure in the Windows Software Development Toolkit, is a “64-bit value representing the number of 100-nanosecond intervals since January 1, 1601 (UTC)”.

Conversion from this internal format to a format more suitable for human interpretation is performed by the Windows system call FileTimeToSystemTime(), which extracts the year, month, day, hour, minutes, seconds and milliseconds from the timestamp data. On other platforms (e.g. Unix), or in software that is intentionally platform-independent (e.g. Perl or Java) other methods for translation is be required.

The documentation of FileTimeToSystemTime(), as well as practical tests, indicate that the FILETIME value to be translated must be 0x7FFFFFFFFFFFFFFF or less. This corresponds to the time 30828-09-14 02:48:05.4775807.

(etc. etc.)

/ edit: Apesar de sua data chegar a sábado, 20 de fevereiro do ano 23464 (sem erro de digitação). Seu NTFS está possivelmente preso?

( Aqui é uma calculadora. Use a configuração "filetime" e insira seus números em forma decimal.)