电子物证检验

关于文件属性中的创建时间、修改时间、
访问时间
我要研究的是文件时间问题，说到文件时间，在开始之前我先说几句题外话。

我认为，相比于时间在指纹、血迹等普通物证中的作用，其在电子物证中的重要性和作用更加巨大。

由于电子物证的高科技性、多样性和易变性，准确地界定好电子物证的时间属性显得尤为重要。

我们在烧录光盘时，更新文件时，数据恢复时，都要考虑文件的时间，那么就让我们深入研究一下文件属性中的创建时间、修改时间、访问时间。

一般情况下，当
我们新建一个word
文件时，文件的创
建时间是最早的，
修改时间和访问时
间次之，并且修改
时间和访问时间往
往相同，如图：
我开始思考，在Windows操作系统下能否得到一个创建时间晚于修改时间或者访问时间的文件呢？我们又是如
何实现这种设想呢？比如说，当我们进行移动、复制、修改、打开文件或文件夹后，会发生什么样的结果呢？如果是.exe文件呢？带着这些疑问，我开始了一系列的实验来验证我的猜想。

在开始之前呢，我先将创建时间、修改时间、访问时间按照时间顺序进行随机的排列组合，时间从早到晚依次为1、2、3，得到了如下13种结果：
创建时间1 修改时间1①访问时间1创建时间1
修改时间1②
访问时间2
创建时间1
修改时间2③
访问时间1
创建时间2 修改时间1④访问时间1创建时间1
修改时间2⑤
访问时间2
创建时间2
修改时间1⑥
访问时间2
创建时间2 修改时间2⑦访问时间1创建时间1
修改时间2⑧
访问时间3
创建时间1
修改时间3⑨
访问时间2
当然，不借助其他软件，在Windows 操作系统下，以上13种情况中，正常情况下有几种是可以发生的，有几种是不可能发生的。

那么，接下来我就进行了一系列的实验，实验结果通过表格的形式表现出来，如下：
创建时间
修改时间
访问时间
同区移动文件 不改变 不改变 不改变 异区移动文件 不改变 不改变 改变 复制文件 改变 不改变 改变 修改文件 不改变 改变 改变 打开文本文件
不改变
不改变
不改变
创建时间2 修改时间1⑾ 访问时间3
创建时间2 修改时间3⑩ 访问时间1
创建时间3 修改时间2⑿ 访问时间1
创建时间3 修改时间1⒀ 访问时间2
具体来说，是分五种情况。

一、同区移动文件
我把一个文件从这个文件夹放到另一个文件夹，但前提是文件的移动——剪切、粘贴都在一个区里进行。

比如说我把E：盘里的“李越文件夹”里的“英语辩论常用句型及话题”文件移动到E：盘里的“学习文件夹”里，然后右键查其属性，发现没有任何变化。

二、异区移动文件
也就是在一个盘里剪切了一个文件后粘贴到另一个盘里，比如说将E:盘里的文件移动到C:盘里。

当进行这个操作后，该文件的创建时间和修改时间是不变的，只有访问时间改变。

记住一点，访问时间是变成粘贴该文件的时间，而不是变成剪切该文件的时间，比如说该文件是2011年11月14日，8:08:02被剪切的，在2011年11月14日，8:09:04被粘贴，那么访问时间就会变成2011年11月14日，8:09:04。

三、复制文件
当我进行简单的复制文件操作后，点击右键属性查看，文件的创建时间和访问时间是改变了的，但是修改时间没有变。

同样记住一点，文件的创建时间和访问时间变成了粘贴该文件的时间，而不是复制该文件的时间。

四、修改文件
我打开一个word文件，并且在里面做了一些修改，最
后保存文件。

然后右键查看属性，结果是文件的创建时间未变，修改时间和访问时间改变——变成了我修改完文件后点击保存的时间。

注意，此时访问时间和修改时间是相同的，同为点击保存的时间。

五、打开文件
如果只是单纯地打开一个文件，那么文件属性不会有任何变化，因为除了打开文件外，我没有进行任何操作。

大家注意到，我在研究复制一个文件时，没有细分到同区和异区复制，因为我早就做过工作了，两种情况是一样的，所以这一就将他们合并来说，没有分开的必要了。

不借助其他软件，在进行完文件层面的操作后，我想要是在文件夹层面操作会怎样呢？于是我又进行了进一步的
实验。

实验结果通过表格的形式表现出来，如下：
创建时间修改时间访问时间同区移动文件夹不改变不改变不改变
异区移动文件夹不改变不改变改变
复制文件夹改变不改变改变这时是分三种情况。

一、同区移动文件夹
如上面讲到的，当我在同一个区里移动某个文件夹时，文件夹中的文件属性是不会发生变化的。

比如我将E:盘里的
“学习文件夹”移动到E:盘里的“工作文件夹”里，“学习文件夹”里的文件属性没有任何变化。

此情况类似于上面的第一种情况。

二、异区移动文件夹
我将一个文件夹从一个区移动到另一个区，比如说我将E:盘里的军理文件夹移动到桌面上，也就是移动到了C：盘里，这时查看其中的文件，我发现其中的创建时间和修改时间未变，只有访问时间变化了。

变成的时间是粘贴该文件夹的时间。

这种情况类似于上面的第二种情况。

三、复制文件夹
不论是同区还是异区复制一个文件夹，右键查看属性后发现文件的修改时间未变，创建时间和访问时间都发生了相同的变化，同时变成了粘贴文件夹时的时间。

这一点类似于上面的第三种情况。

实验完这些事情后，我觉得对于.exe文件有必要实验一下，于是又做了一个实验，结果如下：
创建时间修改时间访问时间运行EXE文件不改变不改变不改变我运行了数个程序，然后查看其属性，发现他们的创建时间、修改时间和访问时间都没有改变。

但是当我对其进行移动和复制这些操作后，他的属性变化与之前做的word文
件完全符合。

经过这一些列的实验，我发现只有访问时间可以单独改变，创建时间和访问时间会同时改变，修改时间和访问时间会同时改变。

所以对开始提出的13种结果，我可以大胆地下一个结论了，其中的1、2、5、6、8、11这6种结果是可能出现的，其余的7种结果则不可能出现。

既在①的基础上，经过一系列的移动、复制、修改等操作，会得到2、5、6、8、11这5种结果，其他7种不借助其他软件是不会出现的。