1.一种基于时间属性的数字取证分析鉴别方法,其特征在于:该方法包括以下步骤:S1:提取相关时间信息;包括获取电子数据,并解析文件元数据包含的时间戳信息;同时,收集并验证承载该电子数据的电子设备的系统时间信息;
S2:分析文件时间信息;文件元数据中记录的$SI和$FN中的八个时间戳都小于或等于$MFT记录修改时间,并且时间戳在用户在线的系统时间范围内;若不符合当前规则,则该文件时间戳信息不可信;
S3:文件时间基础性判断;根据不同操作行为和方式对文件时间的影响规则,对文件时间信息进行可信性检查,判断文件元数据中记录的$SI和$FN中的八个时间戳是否符合规则;若不符合当前规则,则该文件时间戳信息不可信;
S4:基于$LogFile判断$MFT时间创建记录是否被篡改;根据$LogFile中所记载的日志序列号LSN判断文件创建时间是否符合条件;若不符合当前规则,则该文件时间戳信息不可信;
S5:基于$USNjrnl判断$MFT时间修改记录是否被篡改;根据$USNjrnl中所记载的属性BASIC_INFO_CHANGE信息判断文件元数据更改时间是否符合条件;若不符合当前规则,则该文件时间戳信息不可信;
S6:基于Prefetch files记录的时间戳判断$MFT时间是否被篡改;根据Prefetch files记录的时间篡改软件运行的时间记录是否满足条件;若不符合当前规则,则该文件时间戳信息不可信;
S7:基于Link files记录的时间戳判断$MFT时间是否被篡改;根据Link files记录的文件时间是否与当前证据的文件时间是否符合条件;若不符合当前规则,则该文件时间戳信息不可信;
所述S1中,与电子数据时间属性相关的信息包括:系统时间和文件时间;
系统时间是指以格林威治时间为基准的世界标准时间,即Windows event logs中记录的用户登录在线的系统时间;
文件时间是指操作系统记录的文件元数据$MFT中的时间属性,该时间属性记录为$STANDARD_INFORMATION属性,记为$SI,和$FILE_NAME属性,记为$FN,具体为文件修改时间m‑time、文件访问时间a‑time、文件创建时间c‑time、$MFT记录修改时间e‑time,即MACE时间;一共两个属性共计八个时间戳信息;
使用“属性‑时间类别”表示相应的时间戳。
2.根据权利要求1所述的一种基于时间属性的数字取证分析鉴别方法,其特征在于:所述S2中,条件判断规则具体包括:规则1:文件元数据中记录的$SI和$FN中的八个时间戳都在用户登录在线的系统时间范围内;
规则2:文件元数据中记录的$SI和$FN中的八个时间戳都小于或等于$MFT记录修改时间e‑time。
3.根据权利要求1所述的一种基于时间属性的数字取证分析鉴别方法,其特征在于:所述S3中,条件判断规则具体包括:规则3:$SI的$MFT记录修改时间e‑time小于等于$FN的$MFT记录修改时间e‑time,即:$SI‑E<=$FN‑E;同时$SI的文件创建时间c‑time、文件修改时间m‑time、文件访问时间a‑time大于等于$FN的文件创建时间c‑time、文件修改时间m‑time、文件访问时间a‑time,即:$SI‑MAC>$FN‑MAC;
规则4:$FN的文件创建时间c‑time、文件访问时间a‑time大于等于$FN的文件修改时间m‑time、$MFT记录修改时间e‑time,即$FN‑AC>=$FN‑ME。
4.根据权利要求1所述的一种基于时间属性的数字取证分析鉴别方法,其特征在于:所述S4中,条件判断规则具体包括:规则5:$LogFile的创建时间c‑time不等于$SI的文件创建时间c‑time或$FN的文件创建时间c‑time。
5.根据权利要求1所述的一种基于时间属性的数字取证分析鉴别方法,其特征在于:所述S5中,条件判断规则具体包括:规则6:$USNjrnl中BASIC_INFO_CHANGE记录的时间不等于$SI的$MFT记录修改时间e‑time。
6.根据权利要求1所述的一种基于时间属性的数字取证分析鉴别方法,其特征在于:所述S6中,条件判断规则具体包括:规则7:Prefetch files中记录的时间等于$USNjrnl中BASIC_INFO_CHANGE记录的时间。
7.根据权利要求1所述的一种基于时间属性的数字取证分析鉴别方法,其特征在于:所述S7中,条件判断规则具体包括:规则8:Link files记录的文件创建时间c‑time、文件访问时间a‑time、$MFT记录修改时间e‑time小于等于相关文件的文件创建时间c‑time、文件访问时间a‑time、$MFT记录修改时间e‑time。