Привет хабр! Периодически обращаются ко мне разнообразные люди, причем, иногда с такими вещами, что даже как-то не по себе. Вот, например, вчера обратился товарищ с просьбой предоставить экспертное заключение о последней дате изменения файла.
Я, конечно, экспертное заключение сделал :) Прошито — пронумеровано, все в печатях — в судах такой подход любят. Но пока готовил это заключение встал в тупик — а как действительно доказать?
У любого файла есть как минимум 3 даты — время создания фйла, время последнего изменения и время последнего доступа. Эти даты никакой критики не выносят — используя обычный touch можно мгновенно поменять дату файла хоть на из далекого будущего.
Открыл файл HEX редактором, в разных файлах по разному, но как правило там есть запись хотя бы о дате создания файла. Но и в данном случае можно изменить эту запись, правда это чуть сложнее чем с touch :)
Есть еще, конечно, логи, но логи те же файлы, имея доступ к системе, можно делать все что угодно.
В общем сейчас думаю, что по идее никак не доказать время изменения файла, если это не специальный криптоформат или еще что-то в этом духе. Сегодня даже по ходу придумал идею — добавлять в файл метку, у которой были бы такие же функции, как примерно у полураспада углерода. То есть при создании создается метка с значением 100, которая уменьшается или увеличивается, в общем, не важно.
В общем, суть вопроса — как доказать время последнего изменения файла, причем чтобы доказательства принял разумный It-шник? Спасибо!
Атрибуты фала — вотчина файловой системы. Это раз.
Второе — Почти все DLP системы умеют мониторить объекты ФС и ведут историю состояний этих объектов. Если DLP сертифицирована — доказательство у вас есть на основании журнала изменений объекта. То же самое касается и вопроса о копиях файла. Первая копия = оригинал. С него начался отсчет версий — остальные = копии.
Но хочу заметить, что все это происходит без отрыва от ФС. Без фаловой системы, сам файл — информация, которая, чисто логически, не имеет ни каких атрибутов (возраста, цвета, темы, назначения, владельца и т.д.), эти атрибуты появляются тольок в рамках чего-то. Поэтому «привязка на местности» обязательна.
