用户对文件进行操作的过程中，系统会留存部分操作痕迹，其中的时间线索对还原涉案行为发生的顺序提供很大帮助。时间戳可能存在于文件■属性、NTFS日志元数据和操作系统安全事件等位置。以Win10为例，分析Windows操作系统下文件的MFT10和30属性；结合NTFS的■元数据以及日志文件Security.evtx中的安全事件；提取文件时间线索的存储方式、组织结构；研究各类线索之间的关联；结合实例提出在案件侦查取证中为保障证据真实性、关联性而分析文件时间线索的技术方法，为公安机关工作中快速准确地锁定嫌疑人的行为方式和时间提供帮助。

• 单位
  河南警察学院