l’ordinateur
  1. l’ordinateur
  3. Comment savoir quand un disque (DVD) a été écrit / brûlé?
Intereting Posts
Souris dans l'écran (1) sur la console Linux? Qu'est-ce que le répertoire Inetpub? Comment lancer une commande sur la connexion / déconnexion réseau? Obtenez une localisation GPS spécifique en quelque sorte sur Windows 8 L'ordinateur s'effondre au hasard Pourquoi ne puis-je pas créer ou pincer un dossier dans le menu Démarrer? Arrêtez chkdsk lorsque Windows 7 sur un lecteur et Windows 8 sur un autre Dell Inspiron 6400 indique que le mauvais adaptateur secteur est branché et ne charge pas la batterie Windows 8 modifie l'ordre de démarrage Songbird ne démarre pas à cause de GStreamer dans Ubuntu 9.10 Utilisation d'emacs pour contrôler les processus de ligne de commande Devrais-je utiliser une dragonne antistatique lors du changement de RAM sur mon ordinateur portable? Pourquoi les raccourcis Google Docs CTRL + ALT ne fonctionnent-ils pas? Comment supprimer hiberfil.sys Un DownThemAll équivalent pour Chrome

Comment savoir quand un disque (DVD) a été écrit / brûlé?

Existe-t-il un moyen / outil pour déterminer la date et l'heure où un disque a été écrit / brûlé avec une grande certitude? Il s'agit de l'information forensique de données et devrait être une preuve solide. J'ai déjà essayé IsoBuster, mais cela ne m'a pas montré la date / heure à laquelle la piste a été écrite.

La plupart des disques de données optiques utilisent le système de fichiers ISO 9660 Volume et structure de fichier du CD-ROM pour l'échange d'informations , la Spécification de format de disque universel ou les deux (appelé un pont UDF ).

Pour savoir lequel, vous pouvez exécuter 

mount

Sur Linux après le montage du disque afin d'identifier le fichier de périphérique du lecteur de disque optique.

Exemple de sortie: 

 /dev/sr0 /media/dennis/CDROM iso9660 ro,nosuid,nodev,uid=1000,gid=1000,iocharset=utf8,mode=0400,dmode=0500,uhelper=udisks2 0 0

Ici, le fichier de périphérique est /dev/sr0 . La commande 

 disktype /dev/sr0

Affichera les systèmes de fichiers disponibles. Si les deux sont présents, l'analyse de l'ISO 9660 devrait être plus facile.

ISO 9660

La norme spécifie le champ Volume Création Date et Heure comme représentation numérique du moment de la création du volume, écrit au 814e au 830e octet du descripteur de volume primaire dans le format suivant: 

 YYYYMMDDHHMMSSCCO

CC est en secondes et O est le décalage de GMT dans des intervalles de 15 minutes, stockés sous forme d'un entier de 8 bits ( représentation du complément de deux ).

Les premiers 32 KiB (32 768 octets) du disque ne sont pas utilisés par l'ISO 9660 et le descripteur ci-dessus suit immédiatement le bloc inutilisé, nous sommes intéressés par le 33 582e octet et les 16 qui suivent.

Cette information peut être analysée par n'importe quel outil qui peut décharger / lire les données brutes sur le disque optique. Sur Linux, vous pouvez utiliser dd pour vider la partie pertinente de l'image et hexdump pour afficher correctement le dernier octet: 

 dd if=/dev/sr0 bs=1 skip=33581 count=17 | hexdump -C

Pour mon LiveCD Ubuntu 12.04 x64, cela donne: 

 00000000 32 30 31 32 30 38 32 33 31 37 31 33 34 37 30 30 |2012082317134700| 00000010 00 |.|

De sorte que l'image a été créée le 23 août 2012, à 17h13: 47.00 GMT .

UDF

La norme spécifie le RecordingDateandTime enregistré sous la forme d'une représentation binaire du moment de la création du volume primaire, écrit au 376e à 387e octet du descripteur de volume primaire dans le format suivant: 

 TT tT YY YY MM DD HH MM SS CC BB AA

Ici, chaque paire est un octet (octet), c'est-à-dire que XX est composé de deux nombres hexadécimaux.

  • TT tT est un petit entier en 16 bits qui représente le type et le fuseau horaire de l'horodatage.

    Les 12 bits les moins significatifs ( TTT ) tiennent le fuseau horaire, encodé comme le décalage de l'UTC en minutes en tant qu'indice signé ( représentation du complément de deux ).

    Les quatre bits les plus importants ( t ) contiennent le type (toujours 1 , c'est-à-dire l'heure locale).

  • YY YY est l'année codée sous la forme d'un nombre entier de 16 bits signé ( représentation du complément de deux ).

  • MM , DD , HH MM , SS , CC , BB et AA sont des nombres entiers non signés de 8 bits représentant le mois, le jour, l'heure minute, la seconde, la centaine de secondes, les centaines de microsecondes et la microseconde de création.

Encore une fois, les 10 premiers KiB du disque ne sont pas utilisés par UDF. En outre, les 32 octets de KiB suivants sont réservés pour un système de fichiers ISO 9660 hérité (ce qui peut occuper plus d'espace s'il y a lieu).

Sur un disque UDF "pur", la commande 

 dd if=/dev/sr0 bs=1 skip=65912 count=12 | hexdump -C

Affichera l'horodatage codé.

À des fins de test, j'ai créé une image UDF avec K3b. La sortie de la commande dd était la suivante 

 00000000 4c 1f dd 07 03 01 0f 0b 11 00 00 00 |L...........| 0000000c

Une analyse:

  • 0xF4C (hexadécimal) est supérieur à 0x800 et donc négatif. Le repos 0x1000 de 0xF4C donne -180 en décimale. Cela signifie que le fuseau horaire est UTC – 3.

  • 0x07DD est 2013 en décimale (l'année de création).

  • Les octets restants peuvent être interprétés littéralement dans leur représentation hexadécimale (0x0F, 0x0B et 0x11 sont 15, 11 et 17 en décimale).

    Cela signifie que l'image a été créée le 1er mars 2013, à 15: 11: 17.000000 UTC + 3 .

Mises en garde

  • Il est facile de manipuler cette date. Tout ce qui est requis est de changer la date de l'ordinateur avant de créer l'image.

  • Si l'image est créée avant d'être gravée sur le disque, l'ancien temps sera enregistré. Ainsi, le champ n'est qu'une preuve potentielle des disques créés par le propriétaire lui-même.

Oui, il y a: les attributs de date et d' time sont ce que vous recherchez. Il suffit de changer la vue du dossier et de vérifier Propriétés du fichier.

Vérifié il y a une minute, un disque sur W7 et Mac OS X. Voir les captures d'écran ci-dessous …

Entrez la description de l'image iciEntrez la description de l'image ici