কখন ডিস্ক (ডিভিডি) লেখা / পোড়ানো হয়েছে তা সন্ধান করবেন?

যখন উচ্চ ডিস্কিটি দিয়ে কোনও ডিস্ক লেখা / পোড়ানো হয়েছে তখন তারিখ এবং সময় নির্ধারণ করার জন্য কি কোনও উপায় / সরঞ্জাম আছে? এটি ডেটা ফরেনসিক সম্পর্কে এবং এটি একটি শক্ত প্রমাণ হওয়া উচিত। আমি ইতিমধ্যে আইসোবাস্টার চেষ্টা করেছি, তবে এটি আমাকে ট্র্যাকটি লেখার তারিখ / সময় দেখায় নি written

— woerndl
সূত্র

কার্বন ডেটিং ? :) এটি কেবল অর্ধেক রসিকতা: এটি দেখে মনে হচ্ছে আপনার কম্পিউটার বিজ্ঞানের নয় বরং উত্তরের জন্য পদার্থবিদ্যার দিকে নজর দেওয়া উচিত।

— সেলেদা

আমি @ ক্লেদা এর সাথে একমত হতে চাই যে ডিস্কে পোড়ানো কোনও তারিখ সহজেই নকল হয়ে যাবে। দৃ proof় প্রমাণের জন্য আপনার সম্ভবত ডিস্কে শারীরিক পরীক্ষা করা দরকার।

— ড্রাকস

@ কেলাডা, অবশ্যই এটি একটি ভাল ইনপুট, ধন্যবাদ। তবে আমি আশা করি যে সাধারণ সফ্টওয়্যার / হার্ডওয়্যার দ্বারা এটি নির্ধারণের জন্য একটি ভাল উপায় আছে যেহেতু সংস্থানগুলি ভূমিকা গ্রহণ করে এবং এই বিশেষ ক্ষেত্রে এটি একটি বাধা হয়ে থাকে।

— Werndl

@ ড্র্যাকস আপনাকেও ধন্যবাদ। ভাল আমি মূলত সবকিছুকে 'শক্ত প্রমাণ' হিসাবে গ্রহণ করি যা ফাইল পরিবর্তনের তারিখের চেয়ে ভাল।

— Werndl

যদি আপনি এমন একটি সিডি খুঁজে পান যা দাবি করে যে 1980 এর আগে লেখা হয়েছিল এটি সম্ভবত একটি জাল।

— ড্যানিয়েল আর হিকস

উত্তর:

তথ্য অপসারণের জন্য বেশিরভাগ অপটিক্যাল ডেটা ডিস্কগুলি আইএসও 9660 ফাইল সিস্টেম স্ট্যান্ডার্ড ভলিউম এবং সিডি-রোমের ফাইল কাঠামো ব্যবহার করে , ইউনিভার্সাল ডিস্ক ফর্ম্যাট স্পেসিফিকেশন বা উভয় (যাকে ইউডিএফ ব্রিজ বলা হয় ) ব্যবহার করে।

কোনটি নির্বাহ করতে পারেন তা নির্ধারণ করতে

mount

অপটিকাল ডিস্ক ড্রাইভের ডিভাইস ফাইল সনাক্ত করার জন্য লিনাক্সে ডিস্কটি মাউন্ট করার পরে।

উদাহরণ আউটপুট:

/dev/sr0 /media/dennis/CDROM iso9660 ro,nosuid,nodev,uid=1000,gid=1000,iocharset=utf8,mode=0400,dmode=0500,uhelper=udisks2 0 0

এখানে, ডিভাইস ফাইল হয় /dev/sr0। আদেশ

disktype /dev/sr0

উপলব্ধ ফাইল সিস্টেমগুলি প্রদর্শন করবে। যদি উভয়ই উপস্থিত থাকে তবে আইএসও 9660 বিশ্লেষণ করা আরও সহজ হওয়া উচিত।

আইএসও 9660

মানটি ক্ষেত্রটি ভলিউম তৈরির তারিখ এবং সময়কে ভলিউম তৈরির মুহুর্তের সংখ্যাসূচক প্রতিনিধিত্ব হিসাবে উল্লেখ করে , নিম্নলিখিত বিন্যাসে প্রাথমিক ভলিউম বর্ণনাকারীর 830 তম বাইটের মাধ্যমে 814 তম লিখিত :

YYYYMMDDHHMMSSCCO

যেখানে সিসি centiseconds এবং হে 15 মিনিটের সময় অন্তর মধ্যে জিএমটি থেকে অফসেট হয়, 8-বিট পূর্ণসংখ্যা (হিসাবে সংরক্ষিত দুই এর সম্পূরক প্রতিনিধিত্ব )।

ডিস্কের প্রথম 32 কিবি (32,768 বাইট) আইএসও 9660 ব্যবহার করে না এবং উপরের বর্ণনাকারী অবিলম্বে অব্যবহৃত ব্লককে অনুসরণ করে, সুতরাং আমরা 33,582 তম বাইট এবং এর পরে 16 টি আগ্রহী।

এই তথ্যটি কোনও সরঞ্জাম দ্বারা বিশ্লেষণ করা যেতে পারে যা অপটিকাল ডিস্কের কাঁচা ডেটা ডাম্প / পড়তে পারে। লিনাক্সে, আপনি শেষ বাইটটি সঠিকভাবে দেখতে চিত্রের প্রাসঙ্গিক অংশটি ডাম্প করতে ডিডি এবং হেক্সডাম্প ব্যবহার করতে পারেন :

dd if=/dev/sr0 bs=1 skip=33581 count=17 | hexdump -C

আমার উবুন্টু 12.04 x64 লাইভসিডি এর জন্য, এটি দেয়:

00000000  32 30 31 32 30 38 32 33  31 37 31 33 34 37 30 30  |2012082317134700|
00000010  00                                                |.|

সুতরাং চিত্রটি আগস্ট 23, 2012, 17: 13: 47.00 GMT এ নির্মিত হয়েছিল ।

ইউডিএফ

স্ট্যান্ডার্ডটি প্রাথমিক ভলিউমের তৈরির মুহুর্তের বাইনারি উপস্থাপনা হিসাবে দায়েরকৃত রেকর্ডিংডেটএন্ডটাইমকে নির্দিষ্ট করে , নিম্নলিখিত বিন্যাসে প্রাথমিক ভলিউম বর্ণনাকারীর 376 তম থেকে 387 তম বাইটে লিখিত :

TT tT YY YY MM DD HH MM SS CC BB AA

এখানে, প্রতিটি জুটি একটি অক্টেট (বাইট), অর্থাৎ XXদুটি হেক্সাডেসিমাল সংখ্যার সমন্বয়ে গঠিত।

TT tTটাইমস্ট্যাম্পের ধরণ এবং টাইম জোনের প্রতিনিধিত্বকারী একটি সামান্য এন্ডিয়ান 16-বিট পূর্ণসংখ্যা।

12 টি সর্বনিম্ন উল্লেখযোগ্য বিট ( TTT) সময় অঞ্চলটি ধরে রাখে, ইউটিসি থেকে স্বাক্ষরিত পূর্ণসংখ্যা হিসাবে মিনিটের মধ্যে অফসেট হিসাবে এনকোড হয় ( দু'জনের পরিপূরক উপস্থাপনা )।

চারটি উল্লেখযোগ্য বিট ( t) টাইপটি ধরে রাখে (সর্বদা 1, স্থানীয় সময় অর্থ)।
YY YYস্বাক্ষরিত লিটল এন্ডিয়ান 16-বিট পূর্ণসংখ্যা ( দুটির পরিপূরক প্রতিনিধিত্ব ) হিসাবে এনকোড করা বছরটি ।
MM, DD, HH MM, SS, CC, BBএবং AAস্বাক্ষরবিহীন 8-বিট ইন্টিজার প্রতিনিধিত্ব করা হয় মাস, দিন, ঘন্টা মিনিট, সেকেন্ড, centisecond, মাইক্রোসেকেন্ড এবং সৃষ্টির মাইক্রোসেকেন্ড শত শত।

আবার, ডিস্কের প্রথম 32 কিবি ইউডিএফ ব্যবহার করে না। তদতিরিক্ত, নিম্নলিখিত 32 কিবি বাইটগুলি একটি উত্তরাধিকারী আইএসও 9660 ফাইল সিস্টেমের জন্য সংরক্ষিত রয়েছে (এটি উপস্থিত থাকলে আরও স্থান দখল করতে পারে)।

একটি "খাঁটি" ইউডিএফ ডিস্কে, আদেশটি

dd if=/dev/sr0 bs=1 skip=65912 count=12 | hexdump -C

এনকোডড টাইমস্ট্যাম্পটি প্রদর্শন করবে।

পরীক্ষার উদ্দেশ্যে, আমি কে 3 বি দিয়ে একটি ইউডিএফ চিত্র তৈরি করেছি। ddকমান্ডের আউটপুট নিম্নলিখিত ছিল

00000000  4c 1f dd 07 03 01 0f 0b  11 00 00 00              |L...........|
0000000c

বিশ্লেষণ:

0xF4C (হেক্সাডেসিমাল) 0x800 এর চেয়ে বড় এবং - তাই negativeণাত্মক। 0xF4C থেকে 0x1000 বিশ্রাম নেওয়া দশমিক -180 দেয়। এর অর্থ টাইমজোনটি ইউটিসি - 3।
0x07DD দশমিক 2013 (সৃষ্টির বছর)।
বাকী অক্টেটগুলি তাদের হেক্সাডেসিমাল উপস্থাপনায় আক্ষরিকভাবে ব্যাখ্যা করা যায় (0x0F, 0x0B এবং 0x11 দশমিক 15, 11 এবং 17 হয়)।

এর অর্থ হল যে চিত্রটি 1 মার্চ, 2013, 15: 11: 17.000000 ইউটিসি + 3 এ তৈরি হয়েছিল ।

আদেশ সহকারে

এই তারিখটি দিয়ে হৈচৈ করা সহজ ward যা প্রয়োজন তা হ'ল ইমেজ তৈরির আগে কম্পিউটারের তারিখ পরিবর্তন করা।
চিত্রটি আসলে ডিস্কে পোড়ানোর আগে তৈরি করা হলে পূর্বের সময়টি রেকর্ড হয়ে যাবে। সুতরাং, ক্ষেত্রটি কেবল ডিস্কের সম্ভাব্য প্রমাণ যা মালিক নিজে তৈরি করেছিলেন।

— ডেনিস
সূত্র

আমি দৌড়ানোর চেষ্টা করেছি dd if=/dev/disk4 | tail -c +33144 | head -c 17 | hexdump -C। তবে আমি কেবল শূন্যই পাই। আমার গণনাটি কি 32,768 + 376 সঠিক বা ইউডিএফ-এর অব্যবহৃত ব্লকটি আলাদা আকারের? আমি এটি googled, কিন্তু কিছু খুঁজে পেল না।

— ওয়ারেন্ডল

ডিস্কটাইপ নিম্নলিখিতগুলি প্রদান করে:

--- /dev/disk4     Block device, size 4.383 GiB (4706074624 bytes)     disktype: Data read failed at position 4706070528: Input/output error     UDF file system       Sector size 2048 bytes       Volume name "Alenander"       UDF version 1.02     disktype: Data read failed at position 4706009088: Input/output error

— ওয়ার্নল

এটি কি অডিও ডিস্কের সাথে কাজ করার কথা? (আমার কাছে মনে হয় না)

— ফ্রাঙ্ক ডারনকোর্ট

@ ফ্র্যাঙ্কডেরননকোর্ট: নং আইএসও 60 9660০ এবং ইউডিএফ অপটিক্যাল ডেটা ডিস্কের ফাইল সিস্টেম ।

— ডেনিস

@ ডেনিস ধন্যবাদ! এর জন্য কোনও ধারণা: কখন অডিও ডিস্ক (সিডি) লেখা / পোড়ানো হয়েছে তা সন্ধান করবেন?

— ফ্রাঙ্ক ডারননকোর্ট

-1

হ্যাঁ, এখানে রয়েছে: dateএবং timeবৈশিষ্ট্যগুলি যা আপনি সন্ধান করছেন is কেবল ফোল্ডারের দৃশ্য পরিবর্তন করুন এবং ফাইলের বৈশিষ্ট্যগুলি পরীক্ষা করুন।

এক মিনিট আগে ডাব্লু 7 এবং ম্যাক ওএস এক্স উভয় ক্ষেত্রেই একটি ডিস্ক চেক করা হয়েছিল। নীচের স্ক্রিনশটগুলি দেখুন ..

এখানে চিত্র বর্ণনা লিখুন

— ভোলাডাইমার এম।
সূত্র

ফাইলগুলি যখন কোনও ডিস্কে জ্বালিয়ে দেওয়া হয় তখন ফাইল সংশোধন করার সময়গুলির সাথে সম্ভবত কিছু করার থাকে না ... এবং যদি এটি কোনও অডিও ডিস্ক বা এর মতো কোনও কিছু থাকে যাতে ফাইল সিস্টেম নেই?

— সেলেদা

ওপিতে কোন ধরণের সিডি \ ডিভিডি ব্যবহৃত হয় তা উল্লেখ করে না, ২ য় বারের জন্য একবার সিডি \ ডিভিডি বৈশিষ্ট্যগুলি পরিবর্তন করা যায় না, সুতরাং কেন এগুলি তথ্যের উত্স হিসাবে ব্যবহার করা যায় না, এমনকি যদি এটি 100% না দেয় তবে গ্যারান্টি?

— ভোলাডাইমার এম

@ ভোলডিমিয়ার ফাইল পরিবর্তনের তারিখগুলি এখনই আমার কাছে যা আছে তা। এগুলি এক প্রকারের প্রমাণ, তবে আমি যে সুনির্দিষ্টতা খুঁজছি তা সরবরাহ করবেন না। আপনার চেষ্টা করার জন্য আপনাকে ধন্যবাদ।

— woerndl

@ কেলাডা অডিও ডিস্ক সম্পর্কে আপনার প্রশ্নের উত্তর খুঁজে পেয়েছেন? আমি একই সমস্যা হচ্ছে না।

— ফ্রাঙ্ক ডারননকোর্ট