Bagaimana cara mengetahui kapan disc (DVD) telah ditulis / dibakar?

13

Apakah ada cara / alat untuk menentukan tanggal dan waktu kapan sebuah disk telah ditulis / dibakar dengan pasti? Ini tentang forensik data dan harus menjadi bukti kuat. Saya sudah mencoba IsoBuster, tetapi tidak menunjukkan tanggal / waktu di mana lagu itu ditulis.

security dvd compact-disc burning forensics woerndl
sumber
1
Penanggalan karbon ? :) Itu hanya setengah lelucon: sepertinya Anda harus mencari jawaban untuk fisika, bukan ilmu komputer.
Celada
1
Saya harus setuju dengan @Celada Setiap tanggal yang dibakar ke disk akan mudah dipalsukan. Untuk bukti kuat Anda mungkin perlu melakukan tes fisik pada disk itu sendiri.
Dracs
@Celada, tentu itu masukan yang bagus, terima kasih. Tapi saya berharap ada cara yang baik untuk menentukannya dengan perangkat lunak / perangkat keras umum karena sumber daya memainkan peran dan menjadi hambatan dalam kasus khusus ini.
woerndl
@ Docs terima kasih juga. Yah saya pada dasarnya mengambil semuanya sebagai 'bukti kuat' yang lebih baik daripada tanggal perubahan file.
woerndl
2
Jika Anda menemukan CD yang mengklaim telah ditulis sebelum tahun 1980 itu mungkin palsu.
Daniel R Hicks

Jawaban:

18

Kebanyakan disk data optik menggunakan standar sistem file ISO 9660 Volume dan struktur file CD-ROM untuk pertukaran informasi , Spesifikasi Format Disk Universal atau keduanya (disebut jembatan UDF ).

Untuk mencari tahu yang mana, Anda bisa mengeksekusi

mount

di Linux setelah disk telah dipasang untuk mengidentifikasi file perangkat drive disk optik.

Contoh output:

/dev/sr0 /media/dennis/CDROM iso9660 ro,nosuid,nodev,uid=1000,gid=1000,iocharset=utf8,mode=0400,dmode=0500,uhelper=udisks2 0 0

Di sini, file perangkatnya /dev/sr0. Perintah

disktype /dev/sr0

akan menampilkan sistem file yang tersedia. Jika keduanya ada, menganalisis ISO 9660 akan lebih mudah.

ISO 9660

Standar menentukan bidang Tanggal dan Waktu Pembuatan Volume sebagai representasi numerik dari saat pembuatan volume, ditulis untuk byte ke-814 hingga 830 dari Primary Volume Descriptor dalam format berikut:

YYYYMMDDHHMMSSCCO

di mana CC adalah centiseconds dan O adalah offset dari GMT dalam interval 15 menit, disimpan sebagai integer 8-bit ( representasi komplemen dua's ).

32 KiB pertama (32.768 byte) disc tidak digunakan oleh ISO 9660 dan deskriptor di atas segera mengikuti blok yang tidak digunakan, jadi kami tertarik byte 33,582 dan 16 yang mengikuti.

Informasi ini dapat dianalisis oleh alat apa pun yang dapat membuang / membaca data mentah pada cakram optik. Di Linux, Anda dapat menggunakan dd untuk membuang bagian gambar yang relevan dan hexdump untuk melihat byte terakhir dengan benar:

dd if=/dev/sr0 bs=1 skip=33581 count=17 | hexdump -C

Untuk LiveCD Ubuntu 12.04 x64 saya, ini memberikan:

00000000  32 30 31 32 30 38 32 33  31 37 31 33 34 37 30 30  |2012082317134700|
00000010  00                                                |.|

jadi gambar itu dibuat pada 23 Agustus 2012, pukul 17.13: 47.00 GMT .

UDF

Standar menentukan RecordingDateandTime yang diajukan sebagai representasi biner dari saat pembuatan volume primer, ditulis ke byte ke-376 hingga 387 dari Penjelasan Volume Utama dalam format berikut:

TT tT YY YY MM DD HH MM SS CC BB AA

Di sini, setiap pasangan adalah oktet (byte), yaitu XXterdiri dari dua angka heksadesimal.

  • TT tTadalah integer 16-bit little-endian yang mewakili jenis dan zona waktu cap waktu.

    12 bit paling tidak signifikan ( TTT) memegang zona waktu, dikodekan sebagai offset dari UTC dalam hitungan menit sebagai integer yang ditandatangani ( representasi komplemen dua ).

    Empat bit paling signifikan ( t) memegang tipe (selalu 1, berarti waktu lokal).

  • YY YYadalah tahun yang dikodekan sebagai integer 16-bit little-endian yang telah ditandatangani ( representasi pelengkap dua ).

  • MM, DD, HH MM, SS, CC, BBDan AAadalah unsigned 8-bit bilangan bulat yang mewakili bulan, hari, jam menit, detik, centisecond, ratusan mikrodetik dan mikrodetik penciptaan.

Sekali lagi, 32 KiB pertama disc tidak digunakan oleh UDF. Selain itu, byte 32 KiB berikut dicadangkan untuk sistem file ISO 9660 lama (yang dapat menempati lebih banyak ruang jika ada).

Pada disk UDF "murni", perintah

dd if=/dev/sr0 bs=1 skip=65912 count=12 | hexdump -C

akan menampilkan cap waktu yang disandikan.

Untuk tujuan pengujian, saya telah membuat gambar UDF dengan K3b. Output dari ddperintah adalah sebagai berikut

00000000  4c 1f dd 07 03 01 0f 0b  11 00 00 00              |L...........|
0000000c

Analisis:

  • 0xF4C (heksadesimal) lebih besar dari 0x800 dan - karenanya - negatif. Beristirahat 0x1000 dari 0xF4C menghasilkan -180 dalam desimal. Ini berarti zona waktu adalah UTC - 3.

  • 0x07DD adalah 2013 dalam desimal (tahun pembuatan).

  • Oktet yang tersisa dapat ditafsirkan secara harfiah dalam representasi heksadesimal mereka (0x0F, 0x0B dan 0x11 adalah 15, 11 dan 17 dalam desimal).

    Ini berarti bahwa gambar itu dibuat pada 1 Maret 2013, pada 15: 11: 17.000000 UTC + 3 .

Peringatan

  • Sangat mudah untuk merusak tanggal ini. Yang diperlukan hanyalah mengubah tanggal komputer sebelum membuat gambar.

  • Jika gambar dibuat sebelum benar-benar dibakar ke disk, waktu yang lama akan direkam. Dengan demikian, bidang tersebut hanya merupakan bukti potensial untuk cakram yang dibuat oleh pemiliknya sendiri.

Dennis
sumber
Saya mencoba berlari dd if=/dev/disk4 | tail -c +33144 | head -c 17 | hexdump -C. Tapi saya hanya mendapat nol. Apakah perhitungan saya 32.768 + 376 benar atau apakah ukuran blok UDF yang tidak digunakan berbeda? Saya mencari di Google, tetapi tidak menemukan sesuatu.
woerndl
Disktype mengembalikan yang berikut ini: --- /dev/disk4 Block device, size 4.383 GiB (4706074624 bytes) disktype: Data read failed at position 4706070528: Input/output error UDF file system Sector size 2048 bytes Volume name "Alenander" UDF version 1.02 disktype: Data read failed at position 4706009088: Input/output error
woerndl
Apakah ini seharusnya berfungsi dengan cakram audio? (Sepertinya tidak bagi saya)
Franck Dernoncourt
@ Franckernoncourt: Tidak. ISO 9660 dan UDF adalah sistem file cakram data optik .
Dennis
@Dennis Terima kasih! Ada ide untuk: Bagaimana mencari tahu kapan disc audio (CD) telah ditulis / dibakar?
Franck Dernoncourt
-1

Ya, ada: datedan timeatribut adalah apa yang Anda cari. Cukup ubah tampilan folder dan periksa Properti file.

Diperiksa satu menit yang lalu satu disk pada W7 dan Mac OS X. Lihat tangkapan layar di bawah ini ..

masukkan deskripsi gambar di sini masukkan deskripsi gambar di sini

Volodymyr M.
sumber
1
Waktu modifikasi file kemungkinan tidak ada hubungannya dengan ketika file dibakar ke disk ... dan bagaimana jika itu adalah disk audio atau sesuatu seperti itu, yang tidak memiliki sistem file?
Celada
OP tidak menyebutkan jenis CD \ DVD apa yang digunakan, untuk atribut ke-2, setelah ditulis ke CD \ DVD tidak dapat diubah, jadi mengapa ini tidak dapat digunakan sebagai sumber info, bahkan jika itu tidak memberikan 100% menjamin?
Volodymyr M.
Tanggal perubahan file @Vododymyr adalah semua yang saya miliki sekarang. Mereka semacam bukti, tetapi tidak menawarkan kepastian yang saya cari. Terima kasih atas usaha Anda.
woerndl
@Celada Apakah Anda menemukan jawaban untuk pertanyaan Anda tentang disk audio? Saya memiliki masalah yang sama.
Franck Dernoncourt