A análise de evidências de computadores requer uma especial atenção aos metadados relacionados com data e hora. Isto poderá significar a diferença entre o sucesso e o fracasso na análise de um caso. Dois tipos básicos destes metadados devem ser considerados, os metadados do sistema de arquivos e os metadados da aplicação ou serviço que gerou a evidência em análise.

Metadados do sistema de arquivos ou MAC Times – São metadados relacionados a alguma operação realizada com o arquivo e são gravados utilizando-se a hora local ajustada no computador que efetua a operação;

Metadados da aplicação ou serviço – Estão relacionados diretamente com o evento registrado pela aplicação ou serviço, em um log, cabeçalho de uma mensagem de correio eletrônico, histórico de navegação web, etc.

Alguns registros são explícitos com relação à data e hora, mostrando de forma clara como estes metadados foram registrados. Vejamos o cabeçalho de um e-mail.

Vemos que a data e hora registrada indica o tempo deslocado como -0300 (BRT) ou menos três horas do padrão UTC (Universal Coordinated Time ou Tempo Coordenado Universal), também conhecido como GMT (Greenwich Mean Time ou Tempo médio de Greenwich) ou ainda Zulu Time (Tempo Z), Universal Time (Tempo Universal) e World Time (Tempo Mundial). A sigla BRT significa Brazilian Time ou Tempo do Brasil.

Alguns formatos de log também inserem o deslocamento de tempo ou o fuso horário durante o registro da data e hora. Para aqueles que não fazem esta referência, exige-se saber como trata a inserção de data e hora. Vejamos o log do Microsoft IIS. O formato do log pode ser escolhido entre três opções: NCSA (National Center for Supercomputing Applications), IIS (Internet Information Server) e W3C (World Wide Web Consortium). O NCSA e IIS adotam a hora local do computador enquanto o W3C adota a hora no padrão UTC.

Portanto todo o cuidado é pouco para não nos situarmos no local errado. Para ver uma tabela com as Times Zones e seus respectivos deslocamentos clique aqui.