Как да се докаже по време на последната модификация

Как да се докаже по време на последната модификация
  • желязо

Habr Здравейте! Периодично ме питат различни хора, а понякога и с неща, които дори някак неудобно. Например, вчера обжалва приятел иска експертно мнение върху последната дата на промените на файловете.

Разбира се, аз го направих експертно мнение :) зашити - номерирани, всички пломбите - в съдилищата на такъв подход като. Но по време на подготовката на настоящото становище застана до задънена улица - и как наистина да се докаже?

Всеки файл има минимум 3 дати - на fyla създаване, последният път, модификация и последен път за достъп. Тези дати не може да устои всякаква критика - с помощта на обикновен докосване можете незабавно да се промени датата на файловете, дори и за по-далечно бъдеще.

Има, разбира се, на дървата, но трупите на едни и същи файлове, че имат достъп до системата, можете да направите всичко, което искате.

Така че сега аз мисля, че идеята не се оказа времето за промяна, освен ако не е специално kriptoformat или нещо друго подобно. Днес, дори и в хода Аз дойдох с идеята - да се добавят на етикета на файла, който ще има същите функции като полуживот от приблизително въглерод. Това се създава, когато създадете етикет на стойност от 100, което увеличава или намалява, като цяло, това няма значение.

Като цяло, същността на въпроса - как да се покаже файл време модификация, и да докаже, взе разумно Тя-Schnick? Благодарим Ви!

Атрибути фал - наследство на файловата система. Това е време.
Второ - Почти всички от системата за DLP може да следи системните обекти на файлове и да доведе историята на състоянието на тези обекти. Ако DLP сертифициран - доказателство имате обект въз основа на промените в лог. Същото важи и за издаване на файлове екземпляра. = Първо копирате оригинала. С него започна обратното броене версии - на другите = копие.
Но искам да отбележа, че всичко това се случва, без да излиза от ПП. Без един мач на файловата система, самия файл - информацията, която, чисто логически, няма нито някакви атрибути (възраст, цвят на кожата, тема, дестинация, собственици и т.н.), тези атрибути се появяват в рамките на tolok нещо. Следователно, "колче на земята" е задължително.

Като цяло, това зависи от вида на файла и на околната среда, в която е открита. Някъде можете да намерите допълнителна метаданни някъде - информация за потвърждаване, че файлът е създаден в дадена програма в рамките на определен период от време. Да не забравяме и за времето и изтрити файлове (особено на различни документални формати).

временни файлове Атрибутите на NTFS файлова система се съдържат в записа на файл за всеки файл в таблицата с главен файл (МВТ). И странно във файла са точно 8 вместо 3, както сме свикнали да. С течение на времето атрибути отговаря на две структури $ STANDARD_INFORMATION и $ FILE_NAME, всяка от които съдържа: дата и час на създаване на файла, последна промяна, последен достъп, както и дата и час на последна промяна на информация в регистъра на файл. Правилната оценка на времето, атрибути на структурите и $ STANDARD_INFORMATION $ FILE_NAME дава възможност да се възстанови правилно хронологията на събитията и да разберат кога и как са се променили параметрите