Computer-Forensik: Analyse von Angriffen

Zugriffszeiten

Um zielgerichtet suchen zu können, sind zusätzliche Informationen und Erkenntnisse für den Analytiker natürlich von großer Bedeutung. So lassen sich beispielsweise aus den Zeit- und Datumsangaben der einzelnen Dateien die relevanten Bereich eingrenzen. Diese gleicht man mit dem vermuteten oder bekannten Zeitpunkt des Vorfalls ab.

Dabei zieht man zur Auswertung die sogenannte MAC-Time heran. MAC steht für Modification-, Access- und Change-Time einer Datei. Die Modification-Time (MTime) ist der Zeitpunkt des letzten Schreibzugriffs, die Access-Time (ATime) gibt den letzten Lesezugriff an. Die Change-Time (CTime) wurde bei der letzten Veränderung der Dateiattribute (Zugriffsrechte, Eigentümer) gesetzt.

Hier verhalten sich die Betriebs- und File-Systeme oftmals unterschiedlich. So ist im Gegensatz zu Unix bei einem Windows-System mit NTFS die MTime der neuen Datei gleich der MTime der Originaldatei. Hier werden ATime und CTime verändert und zeigen somit den Kopiervorgang an. Für eine sinnvolle Auswertung der Zeitangaben von Dateien wird der Forensiker daher auch immer die Systemzeit überprüfen und gegebenenfalls vorhandene Zeitdifferenzen zwischen beteiligten Systemen berücksichtigen.