Tolkning av tidsstämplar
Nästan alla artefakter har någon form av tidsstämpel. Nedan listas de vanligaste tidsstämplarna.
| Tidsstämpel | Värde |
|---|---|
| Skapad tid | Tiden då fildata skapades. |
| Ändrad tid | Senaste gången fildata ändrades. |
| Åtkomsttid | Senaste gången filen lästes. |
| Status ändrad | Senaste gången metadata för filen ändrades, till exempel genom att ändra behörigheter. |
Notera: Se till att du vet var tidstämplarna i artefakterna kommer från. Tidsstämplar kan komma från många olika platser längs nätverksvägen. Utredare ska alltid validera analyserade tidsdata.
För att undersöka var extraherade tidsstämplar har sitt ursprung läggs källinformation till inom parentes efter tidsstämpeln.
- Tidsstämplar märkta med (Enhet) har genererats baserat på enhetens systemklocka och påverkas av tidsinställningar som görs i enheten (datum, tid och tidszon). Detta innebär att telefonägaren kunde ha manipulerat tidsstämpeln.
- Tidsstämplar märkta med (Nätverk) kommer antingen från mobilnätverket som telefonen var ansluten till eller från internet.
- Tidsstämplar märkta med (Annan klient) kommer från en annan enhet. Källan kan vara en annan telefon, en surfplatta, en dator eller något annat. Detta innebär att tidsstämpeln kan komma från en okänd källa och potentiellt ha ändrats.
- Tidsstämplar utan någon av ovanstående parenteser kommer från en okänd källa.
Hur tidsstämplar ställs in
För att du ska veta hur du ska tolka de avkodade uppgifterna från datakällorna i ditt fall måste du veta hur XAMN anger tidsstämplarna i olika sammanhang.
Exportera en fil för att spara den lokalt
När du exporterar en eller flera filer för att spara dem på din lokala dator är följande sant:
- För tidsstämplar som är skapade, öppnade och ändrade, anges UTC-datumtid.
- Om skapade, öppnade, eller ändrade saknas:
- Datum och tid är inställt på 1970-01-01 00:00:00.
Exportera en fil till en .zip-fil
När du exporterar en eller flera filer för att spara som en .zip-fil är följande sant:
- För tidsstämplar som är skapade, öppnade och ändrade, anges UTC-datumtid.
- Om skapade, öppnade, eller ändrade saknas:
- Inget datum är fastställt.
När ingen UTC-offset är tillgänglig för en fil
Om en UTC-offset inte är tillgänglig i den ursprungliga enhetsextraktionen för en viss fil eller artefakt, gäller följande:
- Alla tidsstämplar antas vara i UTC.
Välj tidszon för visning
I XAMN kan tidsstämplarna i artefakterna justeras till vilken tidszon som helst. Det är ofta mer praktiskt att se extraherade tidsdata i någon annan tidszon än UTC, till exempel lokal tid.
Justering av tidsstämplarna till en annan tidszon är icke-destruktivt och påverkar bara presentationen av data. Du kan alltid gå tillbaka och visa det ursprungliga värdet.
Aktivera val av tidszon
-
Om du vill aktivera justering av tidsstämpel klickar du på Alternativ, väljer sidan Allmänt och markerar kryssrutan Visa i lokal tid.
Ställa in tidszonen för justerade tidsstämplar
- I menyfliksområdet, i gruppen Tidszon, klickar du på pilen i listrutan och väljer sedan en tidszon.
- Den valda tidszonen respekteras vid presentation av tidsstämplar i XAMN.
- Detta gäller för tidsstämplar med information om UTC-offset, men påverkar inte tidsstämplar utan information om UTC-offset
- Dessutom tillämpas sommartid när det är relevant för den valda tidszonen.
- Den valda tidszonen respekteras inte vid export av filer.
- Den valda tidszonen respekteras vid presentation av tidsstämplar i XAMN.
-
Endast tidsstämplar i UTC-format kan justeras.
- När tidsstämpeljustering är aktiverad (dvs.Visa i lokal tid är valt), innehåller alla rapporter och exporterade filer utom Extended XML-filer tidsstämplar som är justerade till den valda tidszonen. Extended XML-filer innehåller både UTC-tidsstämpeln och den justerade tidsstämpeln.
- Även när justering av tidsstämpel är inaktiverad (dvs. Visa i lokal tidinte är vald), hittar filtret Tid artefakter med hjälp av den justerade tidszonen.
Fönstret Detaljer
Om Visa i lokal tid har markerats, visas både UTC-tidsstämpeln och de justerade tidsstämplarna. När Visa i lokal tid är avmarkerat visas endast UTC-tidsstämplar.
Artefaktfönster
I listvyn visas endast en tidsstämpel. När Visa i lokal tid är markerat justeras tidsstämplarna till vald tidszon. Om Visa i lokal tid rensas visas UTC-tidsstämplar.
I kolumnvyn visas justerade tidsstämplar som "UTC+hh:mm". I exemplet nedan betyder detta att tidsstämpeln justeras till en tidszon som är två timmar efter UTC-tid.
| Tidsstämpel i kolumnvyn |  |
| Samma tidsstämpel i fönstret Detaljer |  |
Sommartid
Sommartid (DST) har ingen effekt på UTC-tidsstämplar, men ingår alltid automatiskt i justerade tidsstämplar. Om till exempel en lokal tidszonsjurisdiktion inkluderar sommartid, visas tiden för en lokal händelse som UTC +4 timmar på sommaren och UTC +3 timmar på vintern.