Interpretation von Zeitstempeln
Fast alle Artefakte haben eine Art Zeitstempel. Im Folgenden sind die gebräuchlichsten Zeitstempel aufgeführt.
| Zeitstempel | Wert |
|---|---|
| Erstellungszeitpunkt | Uhrzeit, zu der die Dateidaten erstellt wurden. |
| Änderungszeitpunkt | Uhrzeit, zu der die Dateidaten zuletzt geändert wurden. |
| Aufrufzeitpunkt | Uhrzeit, zu der die Datei zuletzt gelesen wurde. |
| Status geändert | Uhrzeit, zu der die Metadaten der Datei zuletzt geändert wurden, beispielsweise durch das Ändern von Berechtigungen. |
Hinweis: Sie sollten stets den Ursprung der Zeitstempel der Artefakte kennen. Zeitstempel können von vielen verschiedenen Stellen entlang des Netzwerkpfads stammen. Ermittler sollten die analysierten Zeitdaten stets überprüfen.
Um herauszufinden, woher extrahierte Zeitstempel stammen, werden hinter dem Zeitstempel Quelleninformationen in Klammern hinzugefügt.
- Mit (Gerät) gekennzeichnete Zeitstempel wurden basierend auf der Systemuhr des Geräts generiert und werden von den im Gerät vorgenommenen Zeiteinstellungen (Datum, Uhrzeit und Zeitzone) beeinflusst. Dies bedeutet, dass der Telefonbesitzer den Zeitstempel manipuliert haben könnte.
- Mit (Netzwerk) gekennzeichnete Zeitstempel stammen entweder aus dem Mobilfunknetz, mit dem das Telefon verbunden war, oder aus dem Internet.
- Mit (Anderer Client) gekennzeichnete Zeitstempel stammen von einem anderen Gerät. Die Quelle kann ein anderes Telefon, ein Tablet, ein Computer oder Sonstiges sein. Dies bedeutet, dass der Zeitstempel von einer unbekannten Quelle stammen könnte und möglicherweise manipuliert wurde.
- Zeitstempel ohne die oben genannten Klammern stammen aus einer unbekannten Quelle.
Wie Zeitstempel gesetzt werden
Damit Sie wissen, wie die entschlüsselten Daten aus den Datenquellen in Ihrem Fall zu interpretieren sind, müssen Sie wissen, wie XAMN die Zeitstempel in verschiedenen Kontexten festlegt.
Exportieren einer Datei zum lokalen Speichern
Wenn Sie eine Datei oder mehrere Dateien exportieren, um sie auf Ihrem lokalen Computer zu speichern, gilt Folgendes:
- Für die Zeitstempel Erstellt, Zugegriffen und Geändert werden Datum und Uhrzeit der UTC-Zeitzone festgelegt.
- Wenn Erstellt, Zugegriffen oder Geändert nicht angegeben ist, gilt Folgendes:
- Datum und Uhrzeit werden auf 1970-01-01 00:00:00 festgelegt.
Exportieren einer Datei in eine ZIP-Datei
Wenn Sie eine oder mehrere Dateien exportieren, um sie als ZIP-Datei zu speichern, gilt Folgendes:
- Für die Zeitstempel Erstellt, Zugegriffen und Geändert werden Datum und Uhrzeit der UTC-Zeitzone festgelegt.
- Wenn Erstellt, Zugegriffen oder Geändert nicht angegeben ist, gilt Folgendes:
- Es wird kein Datum festgelegt.
Wenn kein UTC-Offset für eine Datei verfügbar ist
Wenn in der ursprünglichen Geräteextraktion für eine bestimmte Datei oder ein bestimmtes Artefakt kein UTC-Offset vorhanden ist, gilt Folgendes:
- Bei allen Zeitstempeln wird davon ausgegangen, dass sie in UTC angegeben sind.
Zeitzone für die Anzeige auswählen
In XAMN lassen sich die Zeitstempel von Artefakten an jede beliebige Zeitzone anpassen. Oft ist es praktischer, extrahierte Zeitdaten in einer anderen Zeitzone als UTC anzuzeigen, z. B. in der jeweiligen Ortszeit.
Die Anpassung der Zeitstempel an eine andere Zeitzone ist ein zerstörungsfreier Vorgang und wirkt sich nur auf die Darstellung der Daten aus. Sie können die Zeitzone jederzeit zurücksetzen, um den ursprünglichen Wert anzuzeigen.
Zeitzonenauswahl aktivieren
-
Um die Zeitstempelanpassung zu aktivieren, klicken Sie auf Optionen, wählen Sie die Seite Allgemein aus und aktivieren Sie dann das Kontrollkästchen In Ortszeit zeigen.
Zeitzone für angepasste Zeitstempel auswählen
- Klicken Sie im Menüband in der Gruppe Zeitzone auf den Drop-down-Pfeil und wählen Sie eine Zeitzone aus.
- Die ausgewählte Zeitzone wird bei der Darstellung von Zeitstempeln in XAMN berücksichtigt.
- Dies gilt für Zeitstempel mit UTC-Offset-Informationen, hat aber keine Auswirkungen auf Zeitstempel ohne UTC-Offset-Informationen
- Außerdem wird die Sommerzeit angewendet, wenn sie für die ausgewählte Zeitzone relevant ist.
- Die ausgewählte Zeitzone wird beim Exportieren von Dateien nicht berücksichtigt.
- Die ausgewählte Zeitzone wird bei der Darstellung von Zeitstempeln in XAMN berücksichtigt.
-
Es können nur Zeitstempel im UTC-Format angepasst werden.
- Wenn die Zeitstempelanpassung aktiviert ist (also wenn In Ortszeit zeigen ausgewählt ist), enthalten alle Berichte und exportierten Dateien mit Ausnahme der Extended XML-Dateien Zeitstempel, die an die ausgewählte Zeitzone angepasst sind. Extended XML-Dateien enthalten sowohl den UTC-Zeitstempel als auch den angepassten Zeitstempel.
- Selbst wenn die Zeitstempelanpassung deaktiviert ist (also wenn In Ortszeit zeigen nicht ausgewählt ist), findet der Zeitfilter Artefakte anhand der angepassten Zeitzone.
Bereich „Details“
Wenn In Ortszeit zeigen ausgewählt ist, werden sowohl der UTC-Zeitstempel als auch die angepassten Zeitstempel angezeigt. Wenn die Option In Ortszeit zeigen deaktiviert ist, werden nur UTC-Zeitstempel angezeigt.
Bereich „Artefakte“
In der Listenansicht wird nur ein Zeitstempel angezeigt. Wenn In Ortszeit zeigen aktiviert ist, werden Zeitstempel an die ausgewählte Zeitzone angepasst. Wenn In Ortszeit zeigen deaktiviert ist, werden UTC-Zeitstempel angezeigt.
In der Spaltenansicht werden die angepassten Zeitstempel als „UTC+hh:mm“ angezeigt. Im folgenden Beispiel bedeutet dies, dass der Zeitstempel auf eine Zeitzone eingestellt wird, die 2 Stunden nach der UTC-Zeit liegt.
| Zeitstempel in der Spaltenansicht |  |
| Gleicher Zeitstempel im Bereich „Details“ |  |
Sommerzeit
Sommerzeit (DST) wirkt sich nicht auf UTC-Zeitstempel aus, wird jedoch stets automatisch in angepasste Zeitstempel einbezogen. Beispiel: Wenn eine lokale Zeitzone Sommerzeit enthält, wird die Uhrzeit für ein lokales Ereignis im Sommer als UTC +4 Stunden und im Winter als UTC +3 Stunden angezeigt.