完整文件系统提取中的Zip文件 - MAC时间戳

数字取证工具生成的zip文件如何管理文件时间戳？查看zip文件规范可以发现，其中并未定义创建时间或访问时间的字段。规范中唯一定义的时间字段是修改时间戳。

从移动设备进行的完整文件系统（FFS）提取虽然是zip文件，但当通过数字取证工具处理时，除了修改时间戳外，还可以看到创建时间和访问时间。这些时间戳被称为MAC时间。

如果规范只定义了修改时间戳，那么另外两个时间戳存储在哪里呢？

创建时间和访问时间保存在规范末尾定义的额外字段中。当使用7zip或WinRaR等常见zip管理器打开这些FFS提取文件时，这些管理器无法看到MAC时间，因为它们没有设置为读取和解释额外字段。

为了验证这些特定FFS提取文件中的MAC时间，可以使用以下Python脚本：extract_timestamps.py

脚本位置：https://github.com/abrignoni/Misc-Scripts/

该脚本需要FFS提取文件的路径以及zip内部文件的路径，以便查看相关的MAC时间。

脚本输出将显示在屏幕上，注意输出末尾的MAC时间全部来自额外字段，而开头的修改时间则来自规范字段。

希望以上内容对您有所启发和帮助。如有问题或评论，可以通过以下链接在所有社交媒体上找到我：https://linqapp.com/abrignoni