11
Beweiskraft der Daten in den Dokumenteigenschaften
Hallo,
ich habe hier ein Word-Dokument mit folgenden Daten unter Eigenschaften/Statistik:
Erstellt: 16.10.2003
Geändert: 16.10.2003
Geöffnet: 20.11.2008
Gedruckt: 16.07.1998
Hierzu hätte ich zwei Fragen:
1) Wie kann es kommen, dass der Druckvorgang zeitlich vor dem eigentlichen Erstellungsdatum liegt?
2) Wie beweiskräftig und mehr oder weniger leicht manipulierbar sind diese Angaben überhaupt?
Vielen Dank fürs lesen und evtl. helfen!
Realbilly
ich habe hier ein Word-Dokument mit folgenden Daten unter Eigenschaften/Statistik:
Erstellt: 16.10.2003
Geändert: 16.10.2003
Geöffnet: 20.11.2008
Gedruckt: 16.07.1998
Hierzu hätte ich zwei Fragen:
1) Wie kann es kommen, dass der Druckvorgang zeitlich vor dem eigentlichen Erstellungsdatum liegt?
2) Wie beweiskräftig und mehr oder weniger leicht manipulierbar sind diese Angaben überhaupt?
Vielen Dank fürs lesen und evtl. helfen!
Realbilly
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 102297
Url: https://administrator.de/contentid/102297
Printed on: April 24, 2024 at 17:04 o'clock
11 Comments
Latest comment
Nun die Zeit wird vom PC genommen und wenn die Uhr falsch steht hast du da ein anderes Datum oder wenn jemand die Zeit extra Ändert.
Wenn die Datei auf diesem Laufwerk erstellt wird, dann wird das Zeit/Datum Feld geschrieben.
Die Datei könnte auf einem anderen Computer erstellt sein, wurde auf einen Server kopiert, heruntergeladen, oder per Email versendet. In jedem Fall ist es eine neue Datei auf dem lokalen PC.
Um ein Dokument in der Zukunft oder Vergangenheit zu erstellen genügt es einen PC vom Netzwerk zu trennen, die Uhr im BIOS um z.B. ein Jahr zu verstellen und den PC zu booten. Wenn im Jahr 2001 ein Word Dokument mit Office 2003 erstellt wurde sollte das stutzig machen oder zum schmunzeln anregen.
Die Beweiskraft ist also sehr gering.
Alte Grüße aus der Zukunft, Rafiki
Die Datei könnte auf einem anderen Computer erstellt sein, wurde auf einen Server kopiert, heruntergeladen, oder per Email versendet. In jedem Fall ist es eine neue Datei auf dem lokalen PC.
Um ein Dokument in der Zukunft oder Vergangenheit zu erstellen genügt es einen PC vom Netzwerk zu trennen, die Uhr im BIOS um z.B. ein Jahr zu verstellen und den PC zu booten. Wenn im Jahr 2001 ein Word Dokument mit Office 2003 erstellt wurde sollte das stutzig machen oder zum schmunzeln anregen.
Die Beweiskraft ist also sehr gering.
Alte Grüße aus der Zukunft, Rafiki
Beweiskraft?
Chr, du bist ein Komiker!
Gruß
Filipp
Chr, du bist ein Komiker!
Gruß
Filipp
Das mit dem Uhr umstellen ist mir schon klar. Aber ich unterstellte, dass dies bei dieser Datei eben nicht gemacht wurde. Deshalb wunderte mich der seltsame Unterschied Erstelldatum - Druckdatum.
Beweiskraft = 0. Das ist doch mal eine Aussage, die ich eben nur nochmal bestätigt haben wollte.
Danke.
Beweiskraft = 0. Das ist doch mal eine Aussage, die ich eben nur nochmal bestätigt haben wollte.
Danke.
Das kann man nicht ganz so stehen lassen.
Wenn ich eine forensische Untersuchung durchfuehre und mir aus den File Meta Daten eine Timeline erstelle sehe ich doch da eine gewisse Beweiskraft.
Die Frage ist nur WER und WIE diese Untersuchung durchgefuehrt wird.
Wenn ich eine forensische Untersuchung durchfuehre und mir aus den File Meta Daten eine Timeline erstelle sehe ich doch da eine gewisse Beweiskraft.
Die Frage ist nur WER und WIE diese Untersuchung durchgefuehrt wird.
Aber selbst die Meta-Daten könnten doch mit einer umgestellten Uhr manipuliert worden sein, oder nicht?
Ja vollkommen richtig! Aber wenn du festellst wann die Uhrzeit und wie umgestellt worden ist (das siehst du wieder recht schoen in der Timeline) kannst du daraus die echtzeit ableiten.
Hallo,
was für Metadaten denn eigentlich? Das, was im Word-Dokument steht? Das ist doch in keiner Form gegen Manipulationen gesichert. Das kann ich größtenteils bereits durch notepad editieren, notfalls mit einem Hex-Editor. Den Schnickschnack mit Uhr verstellen kann ich mir sparen. Auch die Zeitstempel im Filesystem (Erstellt, Geändert, Letzter Zugriff) kann ich auch einfach ändern ohne den PC neu booten zu müssen.
Gruß
Filipp
was für Metadaten denn eigentlich? Das, was im Word-Dokument steht? Das ist doch in keiner Form gegen Manipulationen gesichert. Das kann ich größtenteils bereits durch notepad editieren, notfalls mit einem Hex-Editor. Den Schnickschnack mit Uhr verstellen kann ich mir sparen. Auch die Zeitstempel im Filesystem (Erstellt, Geändert, Letzter Zugriff) kann ich auch einfach ändern ohne den PC neu booten zu müssen.
Gruß
Filipp
@filippg
Ich rede von den Metadaten des Filessystems. Natürlich können die sehr einfach geändert werden, einfach in dem ich zum Bespiel die betreffenende Datei öffne oder änder. Aber genau das sehe ich ja dann in der Timeline. Dort steht dann wann der 'erstellt' Wert geändert worden ist.
Ich rede von den Metadaten des Filessystems. Natürlich können die sehr einfach geändert werden, einfach in dem ich zum Bespiel die betreffenende Datei öffne oder änder. Aber genau das sehe ich ja dann in der Timeline. Dort steht dann wann der 'erstellt' Wert geändert worden ist.
Hallo,
du hast recht, an das USN Journal hatte ich nicht gedacht (NTFS sollte heute ja jeder haben). Zwar kann ich auch das ändern oder löschen, aber dann wird es langsam wirklich schwierig.
Gruß
Filipp
du hast recht, an das USN Journal hatte ich nicht gedacht (NTFS sollte heute ja jeder haben). Zwar kann ich auch das ändern oder löschen, aber dann wird es langsam wirklich schwierig.
Gruß
Filipp
Falls noch mal jemand danach sucht: Hier ein kleines Tool mit dem man die Datum und Zeit Eigenschaften einer Datei komfortabel berichtigen kann.
NewFileTime
http://www.softwareok.de/?seite=Microsoft/NewFileTime
Allerdings wäre damit noch nicht das Datum "zu letzt gedruckt" in einem OfficeDokument zuändern.
NewFileTime
http://www.softwareok.de/?seite=Microsoft/NewFileTime
Allerdings wäre damit noch nicht das Datum "zu letzt gedruckt" in einem OfficeDokument zuändern.
