1.一种基于时间属性的数字取证分析鉴别方法，其特征在于：该方法包括以下步骤：S1：提取相关时间信息；包括获取电子数据，并解析文件元数据包含的时间戳信息；同时，收集并验证承载该电子数据的电子设备的系统时间信息；

S2：分析文件时间信息；文件元数据中记录的$SI和$FN中的八个时间戳都小于或等于$MFT记录修改时间，并且时间戳在用户在线的系统时间范围内；若不符合当前规则，则该文件时间戳信息不可信；

S3：文件时间基础性判断；根据不同操作行为和方式对文件时间的影响规则，对文件时间信息进行可信性检查，判断文件元数据中记录的$SI和$FN中的八个时间戳是否符合规则；若不符合当前规则，则该文件时间戳信息不可信；

S4：基于$LogFile判断$MFT时间创建记录是否被篡改；根据$LogFile中所记载的日志序列号LSN判断文件创建时间是否符合条件；若不符合当前规则，则该文件时间戳信息不可信；

S5：基于$USNjrnl判断$MFT时间修改记录是否被篡改；根据$USNjrnl中所记载的属性BASIC_INFO_CHANGE信息判断文件元数据更改时间是否符合条件；若不符合当前规则，则该文件时间戳信息不可信；

S6：基于Prefetch files记录的时间戳判断$MFT时间是否被篡改；根据Prefetch files记录的时间篡改软件运行的时间记录是否满足条件；若不符合当前规则，则该文件时间戳信息不可信；

S7：基于Link files记录的时间戳判断$MFT时间是否被篡改；根据Link files记录的文件时间是否与当前证据的文件时间是否符合条件；若不符合当前规则，则该文件时间戳信息不可信；

所述S1中，与电子数据时间属性相关的信息包括：系统时间和文件时间；

系统时间是指以格林威治时间为基准的世界标准时间，即Windows event logs中记录的用户登录在线的系统时间；

文件时间是指操作系统记录的文件元数据$MFT中的时间属性，该时间属性记录为$STANDARD_INFORMATION属性，记为$SI，和$FILE_NAME属性，记为$FN，具体为文件修改时间m‑time、文件访问时间a‑time、文件创建时间c‑time、$MFT记录修改时间e‑time，即MACE时间；一共两个属性共计八个时间戳信息；

使用“属性‑时间类别”表示相应的时间戳。

2.根据权利要求1所述的一种基于时间属性的数字取证分析鉴别方法，其特征在于：所述S2中，条件判断规则具体包括：规则1：文件元数据中记录的$SI和$FN中的八个时间戳都在用户登录在线的系统时间范围内；

规则2：文件元数据中记录的$SI和$FN中的八个时间戳都小于或等于$MFT记录修改时间e‑time。

3.根据权利要求1所述的一种基于时间属性的数字取证分析鉴别方法，其特征在于：所述S3中，条件判断规则具体包括：规则3：$SI的$MFT记录修改时间e‑time小于等于$FN的$MFT记录修改时间e‑time，即：$SI‑E<＝$FN‑E；同时$SI的文件创建时间c‑time、文件修改时间m‑time、文件访问时间a‑time大于等于$FN的文件创建时间c‑time、文件修改时间m‑time、文件访问时间a‑time，即：$SI‑MAC>$FN‑MAC；

规则4：$FN的文件创建时间c‑time、文件访问时间a‑time大于等于$FN的文件修改时间m‑time、$MFT记录修改时间e‑time，即$FN‑AC>＝$FN‑ME。

4.根据权利要求1所述的一种基于时间属性的数字取证分析鉴别方法，其特征在于：所述S4中，条件判断规则具体包括：规则5：$LogFile的创建时间c‑time不等于$SI的文件创建时间c‑time或$FN的文件创建时间c‑time。

5.根据权利要求1所述的一种基于时间属性的数字取证分析鉴别方法，其特征在于：所述S5中，条件判断规则具体包括：规则6：$USNjrnl中BASIC_INFO_CHANGE记录的时间不等于$SI的$MFT记录修改时间e‑time。

6.根据权利要求1所述的一种基于时间属性的数字取证分析鉴别方法，其特征在于：所述S6中，条件判断规则具体包括：规则7：Prefetch files中记录的时间等于$USNjrnl中BASIC_INFO_CHANGE记录的时间。

7.根据权利要求1所述的一种基于时间属性的数字取证分析鉴别方法，其特征在于：所述S7中，条件判断规则具体包括：规则8：Link files记录的文件创建时间c‑time、文件访问时间a‑time、$MFT记录修改时间e‑time小于等于相关文件的文件创建时间c‑time、文件访问时间a‑time、$MFT记录修改时间e‑time。