कैसे पता करें कि डिस्क (डीवीडी) को कब लिखा / जलाया गया है?

क्या कोई तिथि / समय निर्धारित करने का कोई तरीका / उपकरण है जब किसी डिस्क को उच्च निश्चितता के साथ लिखा / जलाया गया हो? यह डेटा फोरेंसिक के बारे में है और इसका एक ठोस प्रमाण होना चाहिए। मैंने पहले से ही IsoBuster की कोशिश की, लेकिन इसने मुझे उस तारीख / समय को नहीं दिखाया, जिस पर ट्रैक लिखा गया है।

— woerndl
स्रोत

कार्बन डेटिंग ? :) यह केवल आधा मजाक है: यह वास्तव में ऐसा लगता है जैसे आपको उत्तर के लिए भौतिकी की तलाश करनी चाहिए, न कि कंप्यूटर विज्ञान की।

— सेलडा

मैं @Celada से सहमत होना चाहूँगा डिस्क को जलने की कोई भी तारीख आसानी से नकली हो जाएगी। ठोस सबूत के लिए आपको संभवतः डिस्क पर ही भौतिक परीक्षण करने होंगे।

— ड्रेक्स

@Celada, अच्छी तरह से यकीन है कि के लिए एक अच्छा इनपुट है, धन्यवाद। लेकिन मुझे आशा है कि सामान्य सॉफ़्टवेयर / हार्डवेयर के साथ इसे निर्धारित करने का एक अच्छा तरीका है क्योंकि संसाधन एक भूमिका निभाते हैं और इस विशेष मामले में एक अड़चन हैं।

— woerndl

@Dracs आपका भी शुक्रिया। वैसे मैं मूल रूप से 'सॉलिड प्रूफ' के रूप में सब कुछ लेता हूं, जो कि फाइल चेंज डेट्स से बेहतर है।

— woerndl

यदि आपको एक सीडी मिलती है जो दावा करती है कि यह 1980 से पहले लिखी गई है तो यह संभवतः एक नकली है।

— डैनियल आर हिक्स

अधिकांश ऑप्टिकल डेटा डिस्क्स आईएसओ 9660 फ़ाइल सिस्टम मानक वॉल्यूम और सूचना इंटरचेंज के लिए सीडी-रोम की फ़ाइल संरचना , यूनिवर्सल डिस्क प्रारूप विशिष्टता या दोनों (जिसे यूडीएफ पुल कहा जाता है ) का उपयोग करते हैं।

यह पता लगाने के लिए कि आप किस पर अमल कर सकते हैं

mount

डिस्क पर ऑप्टिकल डिस्क ड्राइव की डिवाइस फ़ाइल की पहचान करने के लिए डिस्क को माउंट करने के बाद।

उदाहरण आउटपुट:

/dev/sr0 /media/dennis/CDROM iso9660 ro,nosuid,nodev,uid=1000,gid=1000,iocharset=utf8,mode=0400,dmode=0500,uhelper=udisks2 0 0

यहां, डिवाइस फ़ाइल है /dev/sr0। आदेश

disktype /dev/sr0

उपलब्ध फ़ाइल सिस्टम प्रदर्शित करेगा। यदि दोनों मौजूद हैं, तो आईएसओ 9660 का विश्लेषण करना आसान होना चाहिए।

आईएसओ 9660

मानक फ़ील्ड के निर्माण की तारीख और समय को वॉल्यूम के निर्माण के क्षण के संख्यात्मक प्रतिनिधित्व के रूप में निर्दिष्ट करता है , जो निम्न प्रारूप में प्राथमिक वॉल्यूम डिस्क्रिप्टर के 830 वें बाइट के माध्यम से 814 वें को लिखा गया है :

YYYYMMDDHHMMSSCCO

जहाँ CC सेंटीसेकंड और O 15 मिनट के अंतराल में GMT से ऑफसेट होता है, उसे 8-बिट पूर्णांक ( दो का पूरक प्रतिनिधित्व ) के रूप में संग्रहीत किया जाता है ।

डिस्क के पहले 32 KiB (32,768 बाइट्स) का उपयोग ISO 9660 द्वारा नहीं किया जाता है और उपरोक्त डिस्क्रिप्टर तुरंत अप्रयुक्त ब्लॉक का अनुसरण करता है, इसलिए हम 33,582 वीं बाइट और 16 का अनुसरण करते हैं।

इस जानकारी का विश्लेषण किसी भी उपकरण द्वारा किया जा सकता है जो ऑप्टिकल डिस्क पर कच्चे डेटा को डंप / रीड कर सकता है। लिनक्स पर, आप अंतिम बाइट को ठीक से देखने के लिए छवि के प्रासंगिक भाग को डंप करने के लिए dd का उपयोग कर सकते हैं :

dd if=/dev/sr0 bs=1 skip=33581 count=17 | hexdump -C

मेरे Ubuntu 12.04 x64 LiveCD के लिए, यह देता है:

00000000  32 30 31 32 30 38 32 33  31 37 31 33 34 37 30 30  |2012082317134700|
00000010  00                                                |.|

इसलिए यह चित्र 23 अगस्त 2012 को 17: 13: 47.00 GMT पर बनाया गया था ।

यूडीएफ

मानक प्राथमिक रिकॉर्डिंग के निर्माण के क्षण के द्विआधारी प्रतिनिधित्व के रूप में दायर रिकॉर्डिंगडॉटएंडटाइम को निर्दिष्ट करता है , जो निम्न प्रारूप में प्राथमिक वॉल्यूम डिस्क्रिप्टर के 376 वें से 387 वें बाइट को लिखा गया है :

TT tT YY YY MM DD HH MM SS CC BB AA

यहां, प्रत्येक जोड़ी एक ओकटेट (बाइट) है, अर्थात, XXदो हेक्साडेसिमल संख्याओं से बना है।

TT tTटाइमस्टैम्प के प्रकार और समय क्षेत्र का प्रतिनिधित्व करने वाला एक छोटा-सा एंडियन 16-बिट पूर्णांक है।

12 कम से कम महत्वपूर्ण बिट्स ( TTT) समय क्षेत्र को धारण करते हैं, एक हस्ताक्षरित पूर्णांक ( दो पूरक प्रतिनिधित्व ) के रूप में यूटीसी से ऑफसेट के रूप में इनकोडिंग ।

चार सबसे महत्वपूर्ण बिट्स ( t) प्रकार (हमेशा 1, स्थानीय समय का अर्थ है ) को पकड़ो ।
YY YYवर्ष हस्ताक्षरित लिटिल-एंडियन 16-बिट पूर्णांक ( दो का पूरक प्रतिनिधित्व ) के रूप में एन्कोड किया गया है ।
MM, DD, HH MM, SS, CC, BBऔर AAअहस्ताक्षरित 8 बिट पूर्णांकों का प्रतिनिधित्व कर रहे हैं माह, दिन, घंटे मिनट, सेकंड, centisecond, माइक्रोसेकंड और सृष्टि के माइक्रोसेकंड के सैकड़ों।

फिर, डिस्क के पहले 32 KiB का उपयोग UDF द्वारा नहीं किया जाता है। इसके अलावा, निम्नलिखित 32 KiB बाइट्स एक विरासत ISO 9660 फ़ाइल सिस्टम के लिए आरक्षित हैं (जो वर्तमान में अधिक स्थान घेर सकते हैं)।

"शुद्ध" UDF डिस्क पर, कमांड

dd if=/dev/sr0 bs=1 skip=65912 count=12 | hexdump -C

एन्कोडेड टाइमस्टैम्प प्रदर्शित करेगा।

परीक्षण उद्देश्यों के लिए, मैंने K3b के साथ एक UDF छवि बनाई है। ddकमांड का आउटपुट निम्नलिखित था

00000000  4c 1f dd 07 03 01 0f 0b  11 00 00 00              |L...........|
0000000c

विश्लेषण:

0xF4C (हेक्साडेसिमल) 0x800 से बड़ा है और इसलिए - नकारात्मक। 0xF4C से 0x1000 को आराम करना, दशमलव में -180 देता है। इसका अर्थ है कि समयक्षेत्र UTC - 3 है।
0x07DD दशमलव (सृजन का वर्ष) में 2013 है।
शेष ओकटेट्स को उनके हेक्साडेसिमल प्रतिनिधित्व (0x0F, 0x0B और 0x11 दशमलव में 15, 11 और 17 हैं) में शाब्दिक रूप से व्याख्या की जा सकती है।

इसका मतलब है कि छवि 1 मार्च 2013 को 15: 11: 17.000000 UTC + 3 पर बनाई गई थी ।

चेतावनियां

इस तिथि के साथ छेड़छाड़ करना सीधा है। छवि बनाने से पहले कंप्यूटर की तारीख को बदलना आवश्यक है।
यदि वास्तव में डिस्क को जलाने से पहले छवि बनाई गई है, तो पूर्व समय रिकॉर्ड किया जाएगा। इस प्रकार, क्षेत्र केवल डिस्क के लिए संभावित सबूत है जो स्वयं स्वामी द्वारा बनाए गए थे।

— डेनिस
स्रोत

मैंने दौड़ने की कोशिश की dd if=/dev/disk4 | tail -c +33144 | head -c 17 | hexdump -C। लेकिन मुझे केवल शून्य मिलता है। क्या मेरी गणना 32,768 + 376 सही है या यूडीएफ के अप्रयुक्त ब्लॉक का एक अलग आकार है? मैंने इसे देखा, लेकिन कुछ नहीं मिला।

— woerndl

डिस्क्टाइप निम्न देता है:

--- /dev/disk4     Block device, size 4.383 GiB (4706074624 bytes)     disktype: Data read failed at position 4706070528: Input/output error     UDF file system       Sector size 2048 bytes       Volume name "Alenander"       UDF version 1.02     disktype: Data read failed at position 4706009088: Input/output error

— woerndl

यह ऑडियो डिस्क के साथ काम करने वाला है? (मुझे नहीं लगता)

— फ्रेंक डर्नोनकोर्ट

@FranckDernoncourt: No. ISO 9660 और UDF ऑप्टिकल डेटा डिस्क की फाइल सिस्टम हैं ।

— डेनिस

@ डेनिस धन्यवाद! इसके लिए कोई विचार: कैसे पता लगाना है कि ऑडियो डिस्क (सीडी) को कब लिखा / जलाया गया है?

— फ्रेंक डर्नोनकोर्ट 3

-1

हाँ, वहाँ है: dateऔर timeविशेषताएँ वह है जो आप ढूंढ रहे हैं। बस फ़ोल्डर का दृश्य बदलें और फ़ाइल के गुण जांचें।

एक मिनट पहले W7 और Mac OS X दोनों पर एक डिस्क की जाँच की। नीचे स्क्रीनशॉट देखें ..

यहाँ छवि विवरण दर्ज करें

— वलोडिमिर एम।
स्रोत

फ़ाइल संशोधन बार कुछ भी करने की संभावना नहीं है जब फ़ाइलों को एक डिस्क पर जला दिया गया था ... और क्या होगा अगर यह एक ऑडियो डिस्क या ऐसा कुछ है, जिसमें फाइल सिस्टम नहीं है?

— सेलदा

ओपी यह उल्लेख नहीं करता है कि किस तरह की सीडी \ डीवीडी का उपयोग किया जाता है, 2 डी के लिए, एक बार सीडी \ डीवीडी विशेषताओं को लिखा नहीं जा सकता है, इसलिए इन्हें 100% नहीं देने पर भी जानकारी के स्रोत के रूप में उपयोग नहीं किया जा सकता है। गारंटी?

— वलोडिमिर एम।

@Volodymyr फ़ाइल बदलने की तारीखें अभी मेरे पास सब कुछ हैं। वे एक प्रमाण की तरह हैं, लेकिन मैं जिस निश्चितता की तलाश कर रहा हूं, उसे पेश नहीं करते। यद्यपि आपके प्रयास के लिए धन्यवाद।

— woerndl

@Celada क्या आपको ऑडियो डिस्क के बारे में आपके प्रश्न का उत्तर मिला? मुझे भी वही समस्या हो रही है।

— फ्रेंक डर्नोनकोर्ट