Si alguien copió archivos de una unidad 1 a usb-unidad 2, parece que los directorios y archivos obtienen la hora original modificada de la unidad 1 en algunos casos y en otros no.
¿Se puede verificar si el archivo / directorio fue realmente copiado a la unidad en un momento posterior y no en la fecha "modificada por la fecha" que se muestra en la unidad usb-2?
¿Se puede verificar si el archivo / directorio fue realmente copiado a la unidad más adelante y no a la hora de "fecha de modificación" que se muestra en la unidad usb-2?
La pisada de la fecha es el problema. Es una técnica en la que se enmascara el comportamiento infame al editar las fechas de los archivos. Y es increíblemente simple: aquí hay un ejemplo de Windows en PowerShell:
(Get-Item '. \ somefile.lnk'). LastWriteTime = [datetime] "10/26/2018"
Habiendo dicho eso y hablando de manera forense, hay lugares en el Sistema Operativo (en Windows) donde, aunque no es imposible, es mucho más difícil de modificar. Hay una tabla maestra de archivos en Windows en la raíz de C: \ $ MFT que está oculta pero rastrea todos los eventos de archivos. Estos se conocen comúnmente como tiempos de MAC (modificados, accedidos, creados).
Hay varias herramientas en diferentes suites para interrogar estas partes del sistema de archivos y crear líneas de tiempo de búsqueda para eventos a nivel de archivo, esto se usa a menudo en la búsqueda de malware. SANS tiene una distro llamada estación de trabajo SIFT donde las herramientas forenses pueden analizar un disco sin conexión o una copia del disco (a través de 'dd' u otras capacidades de clonación de discos). También hay herramientas forenses costosas que le permiten obtener esta información de forma interactiva desde una máquina en línea. FTK, EnCase y Sleuth Kit son probablemente los más conocidos.
Sin embargo, esto solo rastrea los eventos tradicionales a nivel de disco. Windows no realiza un seguimiento de los eventos de copia de dispositivos USB; para ello necesita software de terceros. Sin embargo, con el software mencionado anteriormente, podrías tener una mejor idea de lo que sucedió en la unidad 1 y luego correlacionar esos tiempos de MAC (a través de $ MFT) con lo que dice Explorer para que la unidad USB tenga una idea aproximada.
'A veces' tiene dos versiones:
1. Versión1 : la copia de datos pegados asigna nuevos atributos de tiempo para modificar, acceder y cambiar. 2. Versión2 : los datos de pegado de corte tendrán los mismos valores de MAC