Interprétation des horodatages
Presque tous les artefacts sont accompagnés d’un horodatage. Les horodatages les plus courants sont énumérés ci-dessous.
| Horodatage | Valeur |
|---|---|
| Heure de création | Heure à laquelle les données du fichier ont été créées. |
| Heure de modification | La dernière fois que les données du fichier ont été modifiées. |
| Heure d’accès | La dernière fois que le fichier a été lu. |
| Statut modifié | La dernière fois que les métadonnées du fichier ont été modifiées, par exemple au niveau des autorisations. |
Remarque : Vérifiez toujours d’où sont générées les valeurs d’horodatage, car elles peuvent provenir de différents points du chemin d’accès réseau. Les données temporelles analysées doivent toujours être vérifiées.
Pour aider à déterminer d’où proviennent les horodatages extraits, les informations sur la source sont ajoutées entre parenthèses après l’horodatage.
- Les horodatages marqués avec (Appareil) ont été générés en fonction de l’horloge système de l’appareil et sont affectés par les paramètres de ce dernier (date, heure et fuseau horaire). Cela signifie que le propriétaire du téléphone pourrait avoir manipulé l’horodatage.
- Les horodatages marqués avec (Réseau) proviennent du réseau mobile auquel le téléphone était connecté ou à partir d’Internet.
- Les horodatages marqués avec (Autre client) proviennent d’un autre appareil. La source peut être un autre téléphone, une tablette, un ordinateur ou autre chose. Cela signifie que l’horodatage peut provenir d’une source inconnue et avoir été potentiellement manipulé.
- Les horodatages sans aucune des parenthèses ci-dessus proviennent d’une source inconnue.
Définition des horodatages
Pour savoir comment interpréter les données décodées à partir des sources de données dans votre dossier, vous devez savoir comment XAMN définit les horodatages dans différents contextes.
Exporter un fichier pour l’enregistrer localement
Lors de l’export d’un ou plusieurs fichiers pour les enregistrer sur votre ordinateur local, ce qui suit est vrai :
- Pour les horodatages créés, consultés et modifiés, l’heure UTC est définie.
- Si l’état créé, consulté ou modifié est manquant :
- La date et l’heure sont fixées à 1970-01-01 00:00:00.
Export d’un fichier vers un fichier .zip
Lors de l’export d’un ou plusieurs fichiers pour les enregistrer dans un fichier .zip, ce qui suit est vrai :
- Pour les horodatages créés, consultés et modifiés, l’heure UTC est définie.
- Si l’état créé, consulté ou modifié est manquant :
- Aucune date n’a été fixée.
Si aucun décalage UTC n’est disponible pour un fichier
Si un décalage UTC n’est pas disponible dans l’extraction de l’appareil d’origine pour un fichier ou un artefact particulier, ce qui suit est vrai :
- Tous les horodatages sont supposés être en au format UTC.
Sélection du fuseau horaire d’affichage
Dans XAMN, les horodatages des artefacts peuvent être adaptés à n’importe quel fuseau horaire. Il s’avère souvent plus pratique de rapporter les données temporelles extraites à un autre fuseau horaire (par exemple, l’heure locale).
L’ajustement des horodatages à un autre fuseau horaire n’est pas destructif et n’affecte que la présentation des données. Vous pouvez toujours revenir en arrière pour afficher la valeur initiale.
Activer la sélection du fuseau horaire
-
Pour activer l’ajustement de l’horodatage, cliquez sur Options, sélectionnez la page General et cochez la case Afficher dans l’heure locale.
Définir le fuseau horaire des horodatages ajustés
- Dans le groupe Fuseau horaire de la barre d’outils, cliquez sur la flèche, puis sélectionnez un fuseau horaire dans la liste déroulante.
- Le fuseau horaire sélectionné est respecté lors de la présentation des horodatages dans XAMN.
- Ceci est applicable pour les horodatages avec informations de décalage UTC, mais n’affecte pas les autres horodatages.
- En outre, l’heure d’été est appliquée, le cas échéant, pour le fuseau horaire sélectionné.
- Le fuseau horaire sélectionné n’est pas respecté lors de l’export des fichiers.
- Le fuseau horaire sélectionné est respecté lors de la présentation des horodatages dans XAMN.
-
Seules les valeurs au format UTC peuvent être adaptées.
- Lorsque l’ajustement des horodatages est activé (Afficher dans l’heure locale est coché), tous les rapports et fichiers exportés, à l’exception des fichiers Extended XML, contiennent des horodatages corrigés en fonction du fuseau horaire sélectionné. Les fichiers Extended XML incluent à la fois l’horodatage UTC et l’horodatage ajusté.
- Lors de l’utilisation du filtre Heure, le fuseau horaire est automatiquement adapté, même lorsque la fonction d’ajustement est désactivée (Afficher dans l’heure locale n’est pas coché).
Volet Détails
Si l’option Afficher dans l’heure locale est sélectionnée, l’horodatage UTC et l’horodatage ajusté sont tous deux affichés. Si l’option Afficher dans l’heure locale est décochée, seuls les horodatages UTC sont affichés.
Volet Artefacts
Dans la vue sous forme de liste, un seul horodatage est affiché. Lorsque l’option Afficher dans l’heure locale est cochée, les horodatages sont ajustés en fonction du fuseau horaire sélectionné. Si l’option Afficher dans l’heure locale est décochée, les horodatages UTC sont affichés.
Dans la vue sous forme de colonnes, les horodatages ajustés sont affichés au format UTC+hh:mm. Dans l’exemple ci-dessous, cela signifie que l’horodatage est ajusté à un fuseau horaire décalé de 2 heures après l’heure UTC.
| Horodatage dans la vue Colonne |  |
| Même horodatage dans le volet Détails |  |
Heure d’été
L’heure d’été n’a aucun effet sur les horodatages au format UTC, mais elle est automatiquement prise en compte dans les horodatages ajustés. Par exemple, si le fuseau horaire local est soumis à l’heure d’été, l’heure d’un événement local correspond à UTC+4 heures en été et UTC+3 heures en hiver.