Cum să dovedească timpul ultimei modificări

Cum să dovedească timpul ultimei modificări
  • fier

Habr Buna ziua! Periodic cere-mi o varietate de oameni, și, uneori, cu lucruri pe care chiar și într-un fel de disconfort. De exemplu, ieri a apelat prieten care solicită un aviz de specialitate cu privire la ultima dată a modificărilor de fișier.

Desigur, am făcut un aviz expert :) capsate - numerotate, toate garniturile - în instanțele unei astfel de abordări cum ar fi. Dar, în timp ce pregătirea acestui aviz se afla într-o fundătură - și cum să dovedească într-adevăr?

Orice fișier are un minim de 3 zile - cel fyla creație, timpul ultimei modificări și timpul de acces ultimul. Aceste date nu pot sta nici o critică - folosind o notă obișnuită puteți schimba instantaneu data de fișier, chiar și pentru viitorul îndepărtat.

Există, desigur, jurnalele, dar jurnalele de aceleași fișiere ca având acces la sistem, poți face orice vrei.

Deci, acum cred că ideea nu a dovedit timpul de modificare, cu excepția cazului este un kriptoformat special sau altceva de genul asta. Astăzi, chiar și în curs am venit cu ideea - pentru a adăuga la eticheta fișierului, care ar avea aceleași funcții ca și un timp de înjumătățire de aproximativ carbon. Acesta este creat atunci când creați o etichetă cu o valoare de 100, care crește sau scade, în general, nu contează.

În general, cheia problemei - cum să arate fișier timpul de modificare, și pentru a dovedi a rezonabile it-Schnick? Vă mulțumim!

Atributele halyard - patrimoniul sistemului de fișiere. E timpul.
În al doilea rând - Aproape toate sistemul DLP capabil să monitorizeze fișiere obiectele de sistem și conduce istoria starea acestor obiecte. Dacă DLP certificate - dovada aveți un obiect pe baza modificărilor din jurnal. Același lucru este valabil și pentru eliberarea de copii de fișiere. = Prima copie a originalului. Cu el a început versiunile numărătoarea inversă - others = copie.
Dar vreau să rețineți că toate acestea se întâmplă fără a ne îndepărta de la FS. Fără un meci de sistemul de fișiere, fișierul în sine - informații care, pur în mod logic, nu are nici orice atribute (vârstă, culoare, tema, destinatie, proprietar, etc), aceste atribute apar în tolok ceva. Prin urmare, „peg pe teren“ este obligatorie.

În general, aceasta depinde de tipul de fișier și mediul în care a fost găsit. Undeva puteți găsi metadate suplimentare undeva - link-uri referitoare la confirmarea că fișierul a fost creat într-un anumit program într-o anumită perioadă de timp. Nu uita despre timpul și fișierele șterse (în special diferite formate de documentare).

Sistemul de fișiere NTFS atributele de fișier temporar sunt conținute în fișierul de intrare pentru fiecare fișier în tabelul de master file (MFT). Și, destul de ciudat în fișier sunt exact 8 în loc de 3, așa cum am folosit pentru a. De-a lungul timpului atribute întâlnește două structuri $ STANDARD_INFORMATION și $ FILE_NAME, fiecare dintre ele conținând: data și ora creării fișierului, ultima modificare, Ultimul acces, precum și data și ora ultimei modificări a informațiilor în înregistrarea de fișiere. Evaluarea corectă a timpului atributele structurilor și $ STANDARD_INFORMATION $ FILE_NAME face posibilă pentru a reconstrui în mod corect cronologia evenimentelor și să înțeleagă când și modul în care se schimbă parametrii