縱觀電子數(shù)據(jù)在線索發(fā)現(xiàn)和證據(jù)鏈的運用,時間是一個不可或缺的關(guān)鍵要素,它體現(xiàn)每個獨立事件的發(fā)生時刻,呈現(xiàn)了事件發(fā)展的軌跡,就像散落一地的手串,把珠子撿起再串起來,而時間就是那個串珠子的人。用時間把所有獨立事件連接起來,線索會變得更清晰,證據(jù)鏈會變得更加立體。
根據(jù)2020年ACFE全球職務舞弊調(diào)查報告統(tǒng)計,舞弊行為從開始到被發(fā)現(xiàn)的持續(xù)時間中位值為14個月,舞弊行為給各類組織帶來的損失約為全年總收入的5%。
預計2019年世界生產(chǎn)總值90.52萬億美元,全球職場舞弊導致的損失高達4.5萬億美元。
報告指出,舞弊手段向電子支付和科技型業(yè)務發(fā)展,其中提到舞弊人員最常用的四種隱瞞方法,就包括了更改電子文檔(占比27%)和偽造虛假的電子文件(占比26%),高管傾向于采用“修改文檔“的手段來掩飾行為,普通員工則傾向于“新建或刪除文檔”的手段來自證清白。從舞弊者的職務層級可以看出舞弊行為的不同特點。不論是采用修改文檔、或是新建刪除文檔,這些行為通通都是“Fake ”。
造假的行為總是有跡可循的。
兩個物體接觸,相互產(chǎn)生作用,必然會產(chǎn)生聯(lián)系。行為人(犯罪嫌疑人或舞弊人員)必然會帶走一些東西,亦會留下一些東西,即現(xiàn)場必會留下微痕跡。——《羅卡定律》
電子數(shù)據(jù)是電子物證在網(wǎng)絡空間的自然延伸,羅卡定律同樣適應用于網(wǎng)絡空間。行為人對文檔的任意增刪改均會留下相應的痕跡。時間是現(xiàn)場的沉默證人,他安靜地記錄著舞弊行為現(xiàn)場,等待著調(diào)查人員細心的發(fā)掘。
那么,時間都在哪啊?
文件時間
文件的時間屬性包括文件的創(chuàng)建時間、修改時間和訪問時間等,也稱為文件時間戳或文件MAC時間。文件時間屬性是由計算機系統(tǒng)時間決定的,在系統(tǒng)中,系統(tǒng)時間包括基于格林威治標準時間的UTC( Time)時間和本地時間兩個概念。其中本地時間是通過UTC時間和系統(tǒng)時區(qū)設(shè)置計算得出的。
創(chuàng)建時間,指的是文件在某個路徑(文件夾)下生成的時間。這種“生成”,既可以是新建一個文檔并開始編輯修改文件屬性詳細信息,還包括從別的文件夾下拷貝到此處。修改時間,指的是打開該文件并進行編輯和保存修改變化的時間。更準確的說,應稱為最后一次修改時間。換而言之,文件最后一次的修改變化體現(xiàn)在文件現(xiàn)有內(nèi)容上,而之前的歷次修改并不能有效反映出來。因此,我們在日常的文件屬性中經(jīng)常遇到如下場景:
01
文件的修改時間比創(chuàng)建時間晚,該文件在此處新建后編輯修改過或從別處拷貝后再修改。
02
文件的修改時間比創(chuàng)建時間早,這文件一般是從別處拷貝過來,之后再無修改。
是終端電腦的主流操作系統(tǒng),NTFS分區(qū)是主流分區(qū)格式。所以我們后面的測試都是基于 10 NTFS格式進行測試。除了創(chuàng)建時間和修改時間,還有訪問時間,這個時間字段我們很少用到,參考意義不大,主要是因為某些文件存在高頻率編輯修改,比如元數(shù)據(jù)文件、日志文件、數(shù)據(jù)庫文件等這些文件,一旦開啟訪問時間更新會極大占用系統(tǒng)資源, NTFS 分區(qū)本身是支持更新,在 2000,XP,2003中默認是開啟的,Vista之后需要單獨開啟。訪問時間一般會跟隨著修改時間的變化而改變,但是這個過程并非絕對,我們也有發(fā)現(xiàn)訪問時間晚于修改時間的情況,說明了有些文件的訪問時間還是有獨立更新。(以下截圖都是基于 10 NTFS分區(qū)測試)
壓縮文檔時間
當遇有壓縮文件時,雙擊文件,通過預覽能看到其中對象文件的修改時間,不包含創(chuàng)建時間。當把壓縮文件包解壓后,釋放出來的文件對象,其創(chuàng)建時間是當前時間,一般不具有參考性,而修改時間保持不變。
文檔屬性
(Word & Excel & PPT)等文件,除了右鍵點擊所能看到的常規(guī)文件均具備的“文件屬性”之外,還有一個重要的參考屬性。右鍵點擊“屬性”,在彈出的對話框里選擇“詳細信息”標簽項。如下圖所示。
郵件相關(guān)時間
郵件里有郵件收發(fā)時間,郵件頭還記錄了郵件流轉(zhuǎn)各個節(jié)點的時間。
百度網(wǎng)盤時間
文件上傳到百度盤的修改日期是正確的,但從百度盤下載到本地時,修改時間卻發(fā)生了變化,變成了下載時間,而MD5哈希值都是一樣的,說明內(nèi)容沒有變化。
時間在流逝,各類時間有可能會因為操作不當而發(fā)生改變,那么怎么保證時間的原始性呢?最簡單快速的辦法就是發(fā)現(xiàn)文件或各類痕跡、日志時,馬上截圖或拍照。或者,可以直接在原材料現(xiàn)場歸檔,保存在移動存儲設(shè)備上,壓縮軟件可以保留精準的修改時間。這不是最好的辦法,這種截圖、拍照、歸檔的方式只適合于內(nèi)部使用,如果要用于司法訴訟修改文件屬性詳細信息,還是強烈建議使用專業(yè)的鏡像制作設(shè)備,完整復制所有比特數(shù)據(jù)。