时间戳篡改

对手可能会修改文件时间属性以隐藏新文件或对现有文件的更改。时间戳篡改是一种修改文件时间戳（修改、访问、创建和更改时间）的技术，通常是为了模仿同一文件夹中的文件并将恶意文件与合法文件混合。 主文件表 (MFT) 文件中的 $STANDARD_INFORMATION ($SI) 和 $FILE_NAME ($FN) 属性都记录时间。(引用: Inversecos Timestomping 2022) $SI（日期/时间戳）显示给最终用户，包括在文件系统视图中，而 $FN 由内核处理。(引用: Magnet Forensics) 修改 $SI 属性是最常见的时间戳篡改方法，因为它可以通过 API 调用在用户级别进行修改。然而，$FN 时间戳篡改通常需要与系统内核交互或移动或重命名文件。(引用: Inversecos Timestomping 2022) 对手修改文件上的时间戳，以便它们在法医调查员或文件分析工具中不显得显眼。为了规避依赖于识别 $SI 和 $FN 属性之间差异的检测，对手还可能进行“双重时间戳篡改”，同时修改两个属性上的时间。(引用: Double Timestomping) 时间戳篡改可能与文件名伪装一起使用，以隐藏恶意软件和工具。(引用: WindowsIR Anti-Forensic Techniques)