步骤1:右击“WinHex”图标,选择“以管理员身份运行”。如下图所示。
步骤2:点击WinHex菜单栏“工具”→“打开磁盘”,然后选择逻辑驱动器中的C盘[ 如果多个同学使用同一台电脑做实验,第一个同学选择C盘,第二个同学则可选择D盘,以此类推。],并点击“确认”按钮。如下图所示。
步骤3:找到文件中0x50-0x57范围的数据,对于当前WinHex界面,此数据位于第五行前八个字节,即“A7 1E C7 89 E4 B8 D6 01”。如下图所示。
步骤5:将十六进制数字转换为十进制数字。打开Windows内置的计算器工具,点击菜单栏“查看”,选择“程序员”。在十六进制模式下输入“1D6B8E489C7AEA7””,然后点击“十进制”转换为十进制数字,即为“132496530757627559”。如图 5所示。
步骤7:日期计算。打开Windows内置的计算器工具,点击菜单栏“查看”,勾选“日期计算”。计算得知1601年1月日至2020年11月12日经过了153352天。如图 6所示。
综上,filetime时间戳“A7 1E C7 89 E4 B8 D6 01”表示的时间是UTC时间2020-11-12 11:11:15,换算成北京时间则是2020-11-12 19:11:15。
Filetime时间戳在Windows中被广泛使用,NTFS文件系统中文件的时间全部是以这种格式保存。回收站痕迹、快捷方式文件、跳转列表中的时间也以filetime时间戳保存。
来源:取证杂谈,作者:胡壮
原文始发于微信公众号(电子物证):【电子数据取证时间问题】
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论