NTFS MAC Times dalam Heksadesimal

1

Saya menggunakan EnCase dan Hex Editor untuk menganalisis drive virtual.

EnCase mengatakan bahwa heksadesimal ini: 5FBF60C54F2CCF01

adalah tanggal / waktu (mm / hh / tttt): 02/17/14 09:18:54 (PM)

Saya telah berhasil menghitung tanggal / waktu sebelumnya, tetapi tidak dapat menandingi yang di atas.

Jika seseorang dapat mengkonfirmasi EnCase benar dan menjelaskannya kepada saya, itu akan sangat bagus.

filesystems ntfs timestamp forensics hexadecimal Andrew
sumber
1
... apa itu "waktu MAC"?
grawity
Dimodifikasi, Diakses, dan Dibuat.
Andrew

Jawaban:

0

Se sini . ("Penafsiran Cap Waktu NTFS", dari forensicfocus.com)

Stempel waktu file NTFS, sesuai dengan dokumentasi ‘FILETIME’   struktur data dalam Perangkat Pengembangan Perangkat Lunak Windows, adalah a   “Nilai 64-bit mewakili jumlah interval 100 nanodetik   sejak 1 Januari 1601 (UTC) ”.

Konversi dari format internal ini ke format yang lebih cocok untuk   interpretasi manusia dilakukan oleh system call Windows   FileTimeToSystemTime (), yang mengekstrak tahun, bulan, hari, jam,   menit, detik, dan milidetik dari data cap waktu. Di sisi lain   platform (mis. Unix), atau dalam perangkat lunak yang disengaja   platform-independent (mis. Perl atau Java) metode lain untuk terjemahan   diperlukan.

Dokumentasi FileTimeToSystemTime (), serta praktis   tes, menunjukkan bahwa nilai FILETIME yang akan diterjemahkan harus   0x7FFFFFFFFFFFFFFFFFF atau kurang. Ini sesuai dengan waktu 30828-09-14   02: 48: 05.4775807.

(dll. dll)

/ edit: Meskipun tanggal Anda akan berjumlah Sabtu, 20 Februari tahun ini 23464 (tidak salah ketik). Apakah NTFS Anda mungkin rusak?

( Sini Kalkulator. Gunakan pengaturan "filetime", dan pastikan untuk memasukkan angka Anda dalam bentuk desimal.)

SadBunny
sumber
Ya saya menemukan di atas juga, tetapi itu tidak sesuai dengan data yang saya miliki. Hex dan tanggal yang dikutip sebenarnya bukan milik saya, tetapi milik saya juga tidak cocok. Akan baik-baik saja hanya untuk menerima bahwa itu benar, tetapi saya mencoba untuk menemukan penjelasan, sehingga saya dapat mengukir tanggal secara manual sendiri.
Andrew
Setelah berbicara dengan orang lain tentang ini, ini adalah metode yang benar, string hex yang saya perlu dikonversi ke Little Endian (pada dasarnya terbalik) sebelum dimasukkan ke dalam alat konversi ini. Setelah melakukan itu, tanggal / waktu yang benar harus menjadi jelas.
Andrew
0

Anda dapat memecahkan teka-teki di WinDbg. Mulai saja program apa saja dan lampirkan.

Kemudian, tulis data Anda di suatu tempat ke dalam memori: 

0:001> eq 7731000c  5FBF60C54F2CCF01

dan menafsirkannya sebagai ole32! FILETIME 

0:001> dt ole32!FILETIME 7731000c  
 Feb 20 16:57:50 23464
   +0x000 dwLowDateTime    : 0x4f2ccf01
   +0x004 dwHighDateTime   : 0x5fbf60c5

Seperti yang Anda lihat, itu jauh di masa depan.

Namun, kemungkinan EnCase menampilkan nilai byte-wise seperti yang tertulis di disk, sehingga Anda memiliki masalah LSB / MSB. Mari kita masukkan data byte-wise: 

0:001> eb 7731000c 5F BF 60 C5 4F 2C CF 01

Output dalam format 64 bit, perhatikan bahwa byte dalam urutan terbalik sekarang. 

0:001> dq 7731000c  L1
7731000c  01cf2c4f`c560bf5f

Menafsirkan sebagai FILETIME: 

0:001> dt ole32!FILETIME 7731000c
 Feb 18 02:18:54 2014
   +0x000 dwLowDateTime    : 0xc560bf5f
   +0x004 dwHighDateTime   : 0x1cf2c4f

Tidak yakin mengapa ini mati beberapa jam. Mungkin itu masalah zona waktu.

Thomas Weller
sumber