Interpretacja znaczników czasowych
W prawie wszystkich artefaktach istnieje jakiś znacznik czasowy. Poniżej wymieniono najczęściej używane znaczniki czasowe.
| Znacznika czasowego | Wartość |
|---|---|
| Czas utworzenia | Czas utworzenia danych pliku. |
| Czas modyfikacji | Czas ostatniej modyfikacji danych pliku. |
| Czas dostępu | Czas ostatniego odczytu pliku. |
| Zmiana stanu | Czas ostatniej zmiany metadanych pliku na przykład poprzez zmianę uprawnień. |
Uwaga: Upewnij się, że wiesz skąd pochodzą znaczniki zawarte w artefaktach. Znaczniki czasowe mogą pochodzić z wielu miejsc wzdłuż ścieżki sieciowej. Osoby prowadzące dochodzenie powinny zawsze sprawdzać analizowane dane czasu.
Aby pomóc w ustaleniu, skąd pochodzą wyodrębnione znaczniki czasowe, informacja o źródle jest dodawana w nawiasie po znaczniku czasowym.
- Znaczniki czasowe oznaczone jako (Urządzenie) zostały wygenerowane w oparciu o zegar systemowy urządzenia i są zależne od ustawień czasu dokonanych w urządzeniu (data, czas i strefa czasowa). Oznacza to, że właściciel telefonu mógł manipulować znacznikiem czasowym.
- Znaczniki czasowe oznaczone jako (Sieć) pochodzą z sieci komórkowej, do której telefon był podłączony, lub z Internetu.
- Znaczniki czasowe oznaczone jako (Inny klient) pochodzą z innego urządzenia. Źródłem może być inny telefon, tablet, komputer lub inne urządzenie. Oznacza to, że znacznik czasowy może pochodzić z nieznanego źródła i potencjalnie mógł zostać zmanipulowany.
- Znaczniki czasowe bez któregokolwiek z powyższych nawiasów pochodzą z nieznanego źródła.
Jak ustawiane są znaczniki czasowe
Aby zrozumieć, jak interpretować zdekodowane dane ze źródeł danych w danej sprawie, musisz wiedzieć, w jaki sposób XAMN ustawia znaczniki czasowe w różnych kontekstach.
Eksportowanie pliku w celu zapisania go lokalnie
W przypadku eksportowania przynajmniej jednego pliku w celu zapisania na komputerze lokalnym prawdziwe są następujące informacje:
- W przypadku znaczników czasowych utworzono, uzyskano dostęp i zmodyfikowano ustawiane są data i czas UTC.
- Jeśli brakuje znaczników czasowych utworzono, uzyskano dostęp lub zmodyfikowano:
- Data i godzina są ustawione na 1970-01-01 00:00:00.
Eksportowanie pliku do pliku .zip
W przypadku eksportowania przynajmniej jednego pliku w celu zapisania jako plik .zip prawdziwe są następujące informacje:
- W przypadku znaczników czasowych utworzono, uzyskano dostęp i zmodyfikowano ustawiane są data i czas UTC.
- Jeśli brakuje znaczników czasowych utworzono, uzyskano dostęp lub zmodyfikowano:
- Nie ustawiono daty.
Gdy nie jest dostępne przesunięcie UTC pliku
Jeśli przesunięcie UTC nie jest dostępne w oryginalnym wyodrębnieniu urządzenia na potrzeby określonego pliku lub artefaktu, prawdziwe są następujące informacje:
- Zakłada się, że wszystkie znaczniki czasowe to UTC.
Wybór strefy czasowej wyświetlania
W XAMN znaczniki czasowe można dostosować do dowolnej strefy czasu. Często wygodniej jest wyświetlić wyodrębnione dane czasu zgodnie z inną strefą czasową niż UTC, na przykład czasem lokalnym.
Dostosowanie znaczników czasowych do innej strefy czasowej jest nieniszczące i wpływa jedynie na prezentację danych. Zawsze można wrócić do wyświetlania oryginalnej wartości.
Włączanie wyboru strefy czasowej
-
Aby włączyć dostosowanie znacznika czasowego, kliknij Opcje, wybierz stronę Ogólne, a następnie zaznacz pole wyboru Pokaż w czasie lokalnym.
Wybór strefy czasowej dostosowanych znaczników czasowych
- W grupie Strefa czasowa w menu wstążki kliknij strzałkę listy rozwijanej, a następnie wybierz strefę czasową.
- Wybrana strefa czasowa jest stosowana podczas prezentacji znaczników czasowych w XAMN.
- Ma to zastosowanie do znaczników czasowych z informacjami o przesunięciu UTC, ale nie ma wpływu na znaczniki czasowe bez informacji o przesunięciu UTC
- Ponadto czas letni jest stosowany, jeśli występuje w wybranej strefie czasowej.
- Wybrana strefa czasowa nie jest stosowana podczas eksportowania plików.
- Wybrana strefa czasowa jest stosowana podczas prezentacji znaczników czasowych w XAMN.
-
Można regulować wyłącznie znaczniki czasu w formacie UTC.
- Gdy dostosowanie znacznika czasowe jest włączone (tzn. wybrana jest opcja Pokaż w czasie lokalnym), wszystkie raporty i eksportowane pliki z wyjątkiem plików Extended XML zawierają znaczniki czasowe dostosowane do wybranej strefy czasowej. Pliki Extended XML zawierają zarówno znacznik czasowy UTC, jak i skorygowany znacznik czasowy.
- Nawet gdy dostosowanie znacznika czasowego jest wyłączone (tzn. opcja Pokaż w czasie lokalnym nie jest zaznaczona), filtr czasu znajduje artefakty według dostosowanej strefy czasowej.
Okienko Szczegóły
Jeśli opcja Pokaż w czasie lokalnym jest zaznaczona, wyświetlane są zarówno znaczniki czasowe UTC, jak i skorygowane znaczniki czasowe. Jeśli opcja Pokaż w czasie lokalnym nie jest zaznaczona, wyświetlane są tylko znaczniki czasowe UTC.
Okienko Artefakt
W widoku listy wyświetlany jest tylko jeden znacznik czasowy. Jeżeli opcja Pokaż w czasie lokalnym jest zaznaczona, znaczniki czasowe są dostosowywane do wybranej strefy czasowej. Jeśli opcja Pokaż w czasie lokalnym nie jest zaznaczona, wyświetlane są znaczniki czasowe UTC.
W widoku kolumnowym dostosowane znaczniki czasowe wyświetlane są jako „UTC+hh:mm”. W poniższym przykładzie oznacza to, że znacznik czasowy jest dostosowany do strefy czasowej, która jest o 2 godziny późniejsza niż UTC.
| Znacznik czasowy w widoku kolumnowym |  |
| Ten sam znacznik czasowy w okienku Szczegóły |  |
Czas letni
Czas letni nie wpływa na znaczniki czasowe UTC, ale jest zawsze automatycznie uwzględniany w dostosowanych znacznikach czasowych. Jeśli na przykład w lokalnej strefie czasowej obowiązuje zmiana czasu, wówczas czas wydarzenia lokalnego w lecie będzie wyświetlany jako UTC+4, a w zimie jako UTC+3.