【时间戳】取证中重要的参考系！

取证中unix时间戳在线工具，有一个非常重要的参考系——时间。

如果没有时间，或者时间的证明有问题，那么取证获得一切电子证据很可能都是无效的。因此，关于时间的问题，衍生出了非常多种类的计算方式和衡量标准，较真起来还挺复杂的，如GMT时间、UTC时间、TAT时间、CMOS时间等等。

本期，我想讲的是——「时间戳」，在上期的中我们提及过，但具体如何在取证中看待时间戳还需要好好认识一番。

什么是时间戳？

时间戳是一串表示日期和时间的字符，能够证明某事件真实发生的时刻。

时间戳的起源：实体章

定义就不多说了，我们还是掰开揉碎了来理解这么几点：

1.取证中的时间戳指的是电子时间戳（digital timestamp），即电脑等电子设备所记录的表示某事件发生的时间。（要知道，“时间戳”这个术语起初来源于办公室用于表示时间的实体盖章）

2.一般来说，所有的电脑系统都有时间戳，会在日志里或其他元数据中详细记录连续的事件发生时间。

3.时间戳有许多种，不同的系统时间戳的表达方式不同。

注意啦！

Wendy在百度的时候发现了一处错误，如下图：

百度百科把Unix时间戳的定义弄成了时间戳的定义，请不要对号入座哦！

时间戳的表示方式很多，不仅仅有Unix时间戳，下图是多种时间戳的示例：

时间戳示例

上图中的时间戳大多我们很容易看懂，而Unix时间戳明显与其他几种不同，但确实是使用最为广泛的时间戳之一，大多数的Unix系统和Linux系统以及常见的Windows系统中，都会使用Unix时间戳。

鉴于它特殊的格式，所以我们来专门讲讲Unix时间戳。

Unix时间戳

Unix时间戳（Unix timestamp，也称POSIXtime）指的是格林威治时间1970年01月01日00时00分00秒(北京时间1970年01月01日08时00分00秒)起至现在的总秒数，不考虑闰秒。

这个时间计算方式很有意思，以1970年1月1日00：00：00时为起始，过了多少秒就是什么时间。那么把我此时此刻的时间转换成Unix时间表达会是怎样的呢？

图为小编在6月25日测试的时间戳

大家可以自己尝试一下，把Unix时间和常用时间相互转换试试。

时间戳在线转换网站：

取证小Tips:

如果在分析过程中，发现一串字符，很可能就是Unix时间戳，可以用工具转换一下，找出文件的真实时间。

我们这段时间的Unix时间戳都是以“15”开头的，可以烂熟于心，提高敏感度。

时间戳解读工具

既然时间戳这么重要，又有多种表达方式，那么解读时间戳的工具必不可少。

这里给大家推荐一款绿色又免费的时间转换工具——Dcode。

免费下载网址：

你可以选择不同的时间戳格式，然后根据需求选择相应的的时区进行转换。

这里给大家示范一个，很简单的，如下图：

选择好时区和时间戳格式；

将要转换的字符串粘贴到红色方框内；

点击绿色方框“Decode”按钮即出结果，如绿框所示。

注意：时区的选择很重要，一定要注意取证检材的当地时区时间。

时间戳的提出unix时间戳在线工具，主要是为用户提供一份电子证据， 以证明用户的某些数据的产生时间。所以，在取证的分析全过程中，能灵活地判断和转换时间戳很重要。

关于Unix时间戳的尴尬事

由于UNIX时间戳的存储为32位，当叠加的秒数到了 2147483647秒（231 − 1秒）时，再过一秒就超过了32位，无法计算。也就是到了格林威治时间的2038年1月19日03:14:07时，可能会引发计算机无法工作的问题，这被称为“2038年问题”或“Y2038”。