Windows 7, właściwości pliku - jest „data dostępu” ZAWSZE 100% dokładności?

Oto sytuacja: wyjechałem na wakacje na kilka tygodni, ale zanim wyszedłem, wyjąłem dysk twardy z komputera i ukryłem go w innym miejscu. Po powrocie w poniedziałek i umieszczeniu dysku twardego w komputerze kliknąłem prawym przyciskiem myszy różne pliki, aby zobaczyć ich właściwości. Co ciekawe, w czasie mojej nieobecności uzyskano dostęp do kilku plików! Kliknąłem prawym przyciskiem myszy różne pliki w różnych miejscach na dysku twardym, a wszystkie te podejrzane pliki były dostępne w określonym przedziale czasu (niedziela, 09 stycznia 2011 r., Około między 18:52:16 - 7 : 16: 25 PM). Niektóre z nich były dostępne w tym samym czasie - aż do sekundy. To sprawia, że ​​myślę, że ktoś musiał przeszukać moje dyski twarde w poszukiwaniu pewnych typów plików, a następnie skopiować wszystkie te pliki na inny nośnik. Instalacja systemu Windows 7 na tym dysku twardym jest chroniona hasłem, ale NIE jest szyfrowana, więc mogliby łatwo umieścić dysk twardy w obudowie / tosterze, aby uzyskać do niego dostęp z innego komputera.

Oczywiście nie kliknąłem prawym przyciskiem myszy każdego pliku na moim komputerze, ale zrobiłem to w różnych folderach. Na przykład jeden z folderów, przez które przeszedłem, ma różne typy plików: .mp3,, prproj, .3gp, .mpg, .wmv, .xmp, .txt z rozmiarami plików od 2 KB do 29,7 MB (jest także podfolder w tym folderze, który zawiera tylko pliki .jpg); jednak ze wszystkich tych różnych typów plików w tym folderze i jego podfolderze, wszystkie zostały udostępnione (w tym pliki .jpg z podfolderu) Z WYJĄTKIEM plików .mp3 (jeśli to robi różnicę, pliki .mp3 w tym folderze ma rozmiar od 187 KB do 4881 KB). Dodatkowo, ten podfolder, który zawierał tylko pliki .jpg (dokładnie 48 plików .jpg), nie był dostępny w tym czasie - tylko pliki .jpg były dostępne - (między 18:57:03 - 6 : 57: 08 PM).

Pomyślałem, że może to był jakiś rodzaj usterki systemu Windows, który wyświetlał nieprawidłową datę dostępu, ale potem spojrzałem na „datę utworzenia” i „datę modyfikacji” wszystkich tych plików, a także na ich daty i godziny utworzone były poprawne.

Moja pierwsza myśl była taka, że ​​ktoś umieścił dysk twardy w obudowie / tosterze i obejrzał pliki; ale potem zdałem sobie sprawę, że to niemożliwe, ponieważ dostęp do kilku plików był w tym samym dokładnie czasie, aż do drugiego. To sprawiło, że pomyślałem, że jedynym innym sposobem, w jaki „data uzyskana” mogłaby się zmienić, byłaby sytuacja, gdyby ktoś skopiował pliki.

Czy jest w ogóle jakakolwiek szansa, że ​​jest to jakiś usterka systemu Windows lub coś w tym rodzaju, czy też faktem jest, że ktoś rzeczywiście uzyskiwał dostęp do moich plików (a jeśli ktoś miał dostęp do moich plików, czy mam rację co do skopiowanych plików) )? Czy jest jakaś inna możliwość, co mogłoby się wydarzyć?

Czy muszę korzystać z wszelkiego rodzaju narzędzi kryminalistycznych, aby dokładniej zbadać tę sprawę (a jeśli tak, to jakie narzędzia), czy też jest jakiś inny sposób, w jaki mogę być pewien, co się wydarzyło w tym przedziale czasowym dzień przed moim powrotem? Czy to, co widzę w systemie Windows 7, jest wystarczająco dobre (to znaczy dokładne i zgodne z prawdą)?

Po pierwsze, zależy od systemu plików na dysku. To prawdopodobnie NTFS (FAT jest gorszy).

Czas ostatniego dostępu na woluminie NTFS nie jest zbyt dokładny.

To jest wyciąg ze stron MSDN o czasach plików:

Nie wszystkie systemy plików mogą nagrywać   czasy utworzenia i ostatniego dostępu oraz   nie wszystkie systemy plików zapisują je   w ten sam sposób. Na przykład   rozdzielczość czasu utworzenia na FAT wynosi 10   milisekund, a czas zapisu ma   rozdzielczość 2 sekundy i dostęp   czas ma rozdzielczość 1 dnia, więc to   to naprawdę data dostępu. NTFS   system plików opóźnia aktualizacje do ostatniego   czas dostępu do pliku do 1 godziny   po ostatnim dostępie.

Tutaj jest dużo więcej informacji: http://msdn.microsoft.com/en-us/library/ms724290(v=vs.85).aspx

Ponadto stąd: http://msdn.microsoft.com/en-us/library/aa365739(v=vs.85).aspx

ftLastAccessTime Struktura FILETIME.

W przypadku pliku struktura określa   kiedy plik jest ostatnio czytany z lub   napisany do.

Dla katalogu, struktura   określa, kiedy katalog jest   stworzony.

Dla plików i katalogów   określona data jest poprawna, ale   godzina jest zawsze ustawiona na północ.   Jeśli podstawowy system plików nie   obsługuje ostatni czas dostępu, ten członek   jest zero.

Wszystko to prowadzi mnie do przekonania, że ​​ostatni czas dostępu jest po pierwsze dość niedokładny, a po drugie pisanie aktualizacji do tego czasu na nośnikach może zostać odroczone o godzinę, dzięki czemu wiarygodność tego atrybutu jest dość podejrzana.

Przez cały czas używam znaczników czasu ostatniej dostępnej wersji, podczas rozwiązywania problemów z instalowaniem oprogramowania. Jest bardzo dokładny w moich zastosowaniach NTFS systemy plików.

Ponieważ niektóre daty zostały zmienione w trakcie twojej nieobecności, zakładam, że było kilka dni do tygodnia, powiedziałbym, że ktoś miał dostęp do tych plików.

Te znaczniki czasu wraz z innymi danymi są wykorzystywane przez zespoły analityków komputerowych do odtworzenia tego, co użytkownik zrobił na komputerze.

Doświadczeni hakerzy wykorzystują oprogramowanie do zmiany tych znaczników czasu, aby zakryć ślady po włamaniu do systemów komputerowych.

Ostatni dostęp jest domyślnie wyłączone w systemie Windows 7 .