exFAT文件系统结构

⌘K
  2. 主页
  4. 文档
  6. exFAT文件系统结构
  8. 时间格式

时间格式


图9 扩展FAT文件系统时间戳格式

当调查者或取证人员分析一个系统时,需要注意的一个重要的信息就是文件时间(Carvey,2005)。这个过程叫做MAC时间分析。需要知道一个文件的3个主要时间戳,也就是创建时间,访问时间和修改时间。对文件时间戳的分析可以对文件的存在时间和文件内容有更深的了解。8.8章将介绍时间戳的位置以及如何提取它们。这一章将解释时间戳的格式,帮助取证人员理解怎么把时间戳转化成人可以读取的日期和时间。

Carrier提供了损坏的文件系统的时间戳格式(Carrier,2005)。另一个例子如图9所示。MSDN提供了一个绘图,叫做DOS日期/时间格式(图10)。

图10  DOS日期/时间格式

exFAT中的DOS日期/时间格式没有改变,和传统的FAT文件系统是一样的。exFAT支持UTC时间戳,当数据从不同的时区采集过来,对取证人员分析从不同时区的操作系统所产生相互关联的数据和日志是非常重要的。这份分析没有确定是否有单独的UTC时间戳格式,但是已经确定的是,exFAT文件系统使用三个不同的区域存放UTC时间戳。这些区域不是作为一个单独的区域存放每个类型的时间戳。这不同于NTFS的UTC时间戳,NTFS使用64位数据表示从1601年1月1日(UTC)到现在有多少个100个10亿分之一秒(也就是千万分之一秒)。

第一个区域是DOS日期/时间值,这包含2个单独的区域:日期戳由16位的字描述,时间戳也是16位的字描述,这两个区域在一起存储,以32位(4字节)来对待日期/时间戳。Microsoft也是按照单一的4字节区域对待,而不是按两部分对待。

l         bit0-bit4:这5位记录“秒”值,单位是2s,也就是这五个位的值乘以2才是文件时间戳的秒值,取值范围是0~29。

l         bit5-bit10:这6位记录“分”值,取值范围是0~59。

l         bit11-bit15:这5位记录“时”值,取值范围是0~23。

l         bit16-bit20:这5位记录“日”值,取值范围是1~31。

l         bit21-bit24:这4位记录“月”值,取值范围是1~12。

l         bit24-bit31:这7位记录“年”值,其取值是相对于1980年开始计算的,必须加上1980才是正确年份,取值范围是0~127,也就是说从1980年到2107年。

下一个区域是一个字节的10ms增量单元,取值为0-199。这实际上是额外的秒,因为DOS日期/时间戳格式的秒实际上是“双秒”,把10ms部分列入为重要因素,它的值是0-1990ms或者0-1.99秒。文件的实际时间的秒数就是秒值加上这个10ms部分。这个区域存在于创建时间戳和修改时间戳,Windows XP创建的日期/时间戳包括这两个区域,但是Server 2008只包括创建时间戳区域。

第三个区域是这三个时间(创建时间,修改时间,访问时间)的时区偏移。当系统支持UTC时,这些区域的内容是非零的。支持exFAT的Windows XP可以支持UTC,但是在Vista SP1和Server 2008 SP1中就不支持UTC,但是Server 2008升级到SP2后就可以支持时区偏移。检查这些区域就可以知道操作系统是否对UTC日期/时间戳进行创建或是更新操作。

作者查阅了好多资料都没有这个时区的格式数据,因此作者用Windows XP系统,在exFAT系统中建立文件时更换不同的时区得到下表(表8):

表8 时区的偏移值

取值 时区 时间值描述
252 -01 (GMT-01:00) Azores

(GMT-01:00) Cape Verde Islands
248 -02 (GMT-02:00) Mid-Atlantic
244 -03 (GMT-03:00) Greenland

(GMT-03:00)Buenos  Aires, Georgetown

(GMT-03:00) Brasilia
242 -03:30 (GMT-03:30) Newfoundland and Labrador
240 -04 (GMT-04:00) Atlantic Time (Canada)

(GMT-04:00) Caracas, La Paz

(GMT-04:00) Santiago
236 -05 (GMT-05:00) Eastern Time (US and Canada)

(GMT-05:00) Indiana (East)

(GMT-05:00) Bogota, Lima, Quito
232 -06 (GMT-06:00) Central America

(GMT-06:00) Guadalajara, Mexico City, Monterrey

(GMT-06:00) Saskatchewan

(GMT-06:00) Central Time (US and Canada)
228 -07 (GMT-07:00) Arizona

(GMT-07:00) Chihuahua, La Paz, Mazatlan

(GMT-07:00) Mountain Time (US and Canada)
224 -08 (GMT-08:00) Pacific Time (US and Canada); Tijuana
220 -09 (GMT-09:00) Alaska
216 -10 (GMT-10:00) Hawaii
212 -11 (GMT-11:00) Midway Island, Samoa
208 -12 (GMT-12:00) International Date Line West
180 +13 (GMT+13:00) Nuku’alofa
176 +12 (GMT+12:00) Auckland, Wellington

(GMT+12:00) Fiji Islands, Kamchatka, Marshall Islands
172 +11 (GMT+11:00) Magadan, Solomon Islands, New Caledonia
168 +10 (GMT+10:00) Guam, Port Moresby

(GMT+10:00) Vladivostok

(GMT+10:00) Hobart

(GMT+10:00) Brisbane

(GMT+10:00) Canberra, Melbourne, Sydney
166 +9:30 (GMT+09:30) Adelaide

(GMT+09:30) Darwin
164 +09 (GMT+09:00) Yakutsk

(GMT+09:00) Osaka, Sapporo, Tokyo

(GMT+09:00) Seoul
160 +08 (GMT+08:00) Kuala Lumpur, Singapore

(GMT+08:00) Beijing, Chongqing, Hong Kong SAR, Urumqi
156 +07 (GMT+07:00) Krasnoyarsk
154 +06:30 (GMT+07:00) Bangkok, Hanoi, Jakarta
152 +06 (GMT+06:00) Almaty, Novosibirsk

(GMT+06:00) Sri Jayawardenepura

(GMT+06:00) Astana, Dhaka
151 +05:45 (GMT+05:45) Kathmandu
150 +05:30 (GMT+05:30) Chennai, Kolkata, Mumbai, New Delhi
148 +05 (GMT+05:00) Islamabad, Karachi, Tashkent

(GMT+05:00) Ekaterinburg
146 +04:30 (GMT+04:30) Kabul
144 +04 (GMT+04:00) Baku, Tbilisi, Yerevan

(GMT+04:00) Abu Dhabi, Muscat
142 +03:30 (GMT+03:30) Tehran
140 +03 (GMT+03:00) Baghdad

(GMT+03:00) Nairobi

(GMT+03:00) Kuwait, Riyadh

(GMT+03:00) Moscow, St. Petersburg, Volgograd
136 +02 (GMT+02:00) Harare, Pretoria

(GMT+02:00) Jerusalem

(GMT+02:00) Athens, Istanbul, Minsk

(GMT+02:00) Helsinki, Kiev, Riga, Sofia, Tallinn, Vilnius

(GMT+02:00) Cairo

(GMT+02:00) Bucharest
132 +01 (GMT+01:00) West Central Africa
128 +00 (GMT) Greenwich Standard Time

DOS时间戳通常记下了当前的系统时间,当引入UTC时间后,它有两种工作方式。因此不管系统是否支持UTC,本地时间的日期/时间信息记录是相同的,如果支持UTC,系统会记录时区偏移来纠正正确的时间戳。

我们要如何帮助您?

评论 抢沙发

评论前必须登录!