Ch a p t e r   1 9   –   C u s t o m   M o d u l e s 
231 | Page 
Copyright GetData Forensics Pty Ltd 2010 - 2014, All rights reserved. 
Chapter 19 – Custom Modules 
In This Chapter 
CHAPTER 19
– CUSTOM MODULES 
19.1
About Custom Modules ................................................................................................................... 232
19.2
Browser History Module .................................................................................................................. 232
19.3
Phone Module ................................................................................................................................. 232
19.3.1
iPhone ............................................................................................................................ 232
19.3.2
Nokia PM ....................................................................................................................... 233
Pdf metadata online - add, remove, update PDF metadata in C#.net, ASP.NET, MVC, Ajax, WinForms, WPF
Allow C# Developers to Read, Add, Edit, Update and Delete PDF Metadata
add metadata to pdf; online pdf metadata viewer
Pdf metadata online - VB.NET PDF metadata library: add, remove, update PDF metadata in vb.net, ASP.NET, MVC, Ajax, WinForms, WPF
Enable VB.NET Users to Read, Write, Edit, Delete and Update PDF Document Metadata
clean pdf metadata; pdf metadata viewer
232 | Page 
Ch a p t e r   1 9   –   C u s t o m   M o d u l e s    
Copyright GetData Forensics Pty Ltd 2010 - 2015, All rights reserved.
19.1
ABOUT CUSTOM MODULES 
The flexibility of Forensic Explorer means that a custom module can be created and 
populated with data entirely from scripts. 
19.2
BROWSER HISTORY MODULE 
The Browser History module is a custom module created from script. Browser History 
scripts are located in the Scripts module at the path:  
Scripts\Internet\Browser History\.  
Browser history scripts include: 
Module - Browser History Create.pas that creates the module;  
Individual scripts, such as History - Process Chrome.pas, that extract browser 
history from relevant files and populate the module with data. 
A number of browser store data in an SQLite database format. For example the 
Chrome browser stores history data in the SQLite history file. This data is extracted 
and populated into module using an SQL statement. 
19.3
PHONE MODULE 
The Phone module is a custom module created from script. The Phone module is 
created by the script:  
Scripts\Phone\Phone Moudle Create.pas 
19.3.1
IPHONE 
The scripts folder: Scripts\Phone\iPhone\ contains scripts specific to the extraction of 
data from iPhone devices and iTunes backups.  
IPhones commonly store data in one of the following formats: 
As standard media files, e.g. JPG, PNG 
Plist; 
XML; 
SQLite. 
Each script is designed to extract the intended data and populate the Phone module. 
There are however a great many files within an iPhone that may be relevant to and 
investigation. If the required script does not existing by default, the following scripts 
can be used as templates for the different types of extraction: 
VB.NET PDF- View PDF Online with VB.NET HTML5 PDF Viewer
C#.NET edit PDF bookmark, C#.NET edit PDF metadata, C#.NET C#.NET read barcodes from PDF, C#.NET OCR scan PDF. C# ASP.NET Document Viewer, C# Online Dicom Viewer
acrobat pdf additional metadata; add metadata to pdf programmatically
VB.NET PDF - Create PDF Online with VB.NET HTML5 PDF Viewer
C#.NET edit PDF bookmark, C#.NET edit PDF metadata, C#.NET C#.NET read barcodes from PDF, C#.NET OCR scan PDF. C# ASP.NET Document Viewer, C# Online Dicom Viewer
remove metadata from pdf file; pdf xmp metadata viewer
Ch a p t e r   1 9   –   C u s t o m   M o d u l e s  
233 | Page 
Copyright GetData Forensics Pty Ltd 2010 - 2014, All rights reserved. 
SQLite: iPhone – Facebook.pas - This script extracts Facebook data from the 
SQLite file fbsyncstore.db. 
Images: iPhone -  Images.pas: - This script adds iPhone graphics files (e.g. 
JPG, PNG) from the File System to the Phone module. 
Plist: iPhone – Wifi Networks.pas: - This script adds a list of Wi-Fi networks 
and SSID information to the Phone module.  
XML: - iPhone – iTunes Info.pas: - This script collects iphone user 
information and adds it to the Phone module. 
19.3.2
NOKIA PM 
The ͞..\Scripts\Phone\Phone PM.pas͟ script opens, reads, and adds a selected Nokia 
PM phone image file to the module. It then parses the files to extract information from 
the image, as shown in Figure 183 below: 
Figure 183, Custom Phone module - parsing a Nokia PM file 
C# HTML5 PDF Viewer SDK to create PDF document from other file
C#.NET edit PDF bookmark, C#.NET edit PDF metadata, C#.NET C#.NET read barcodes from PDF, C#.NET OCR scan PDF. C# ASP.NET Document Viewer, C# Online Dicom Viewer
read pdf metadata java; pdf metadata viewer online
VB.NET PDF Library SDK to view, edit, convert, process PDF file
PDF Metadata Edit. Offer professional PDF document metadata editing APIs, using which VB.NET developers can redact, delete, view and save PDF metadata.
adding metadata to pdf files; pdf xmp metadata editor
VB.NET PDF Image Extract Library: Select, copy, paste PDF images
zonal information, metadata, and so on. Extract image from PDF free in .NET framework application with trial SDK components for .NET. Online source codes for
remove pdf metadata online; search pdf metadata
C# HTML5 PDF Viewer SDK to view, annotate, create and convert PDF
C#.NET users and developers can view PDF online with convenient manipulation, add varieties of annotations to PDF freely online, create PDF document from
add metadata to pdf file; get pdf metadata
Ch a p t e r   2 0   –   D a t e   a n d   T i m e 
235 | Page 
Copyright GetData Forensics Pty Ltd 2010 - 2014, All rights reserved. 
Chapter 20 – Date and Time 
In This Chapter 
CHAPTER 20
- DATE AND TIME 
20.1
Date and time in computer forensics .............................................................................................. 236
20.2
FAT, HFS, CDFS file system date and time ....................................................................................... 236
20.3
NTFS, HFS+ file system date and time ............................................................................................. 236
20.4
Date and time information in the Windows registry ....................................................................... 236
20.4.1
Manually examine registry for time zone information .................................................. 237
20.4.2
Extract time zone information using a script................................................................. 239
20.5
Daylight saving time (DST) ............................................................................................................... 240
20.6
Adjusting Date in Forensic Explorer ................................................................................................ 241
20.6.1
Adjusting the date and time when adding evidence ..................................................... 241
20.6.2
Adjusting evidence date and time during a case ........................................................... 242
20.6.3
Synchronizing time zones .............................................................................................. 243
VB.NET PDF File Compress Library: Compress reduce PDF size in vb.
Document and metadata. All object data. File attachment. Flatten visible layers. VB.NET Demo Code to Optimize An Exist PDF File in Visual C#.NET Project.
metadata in pdf documents; google search pdf metadata
C# HTML5 PDF Viewer SDK to view PDF document online in C#.NET
Create PDF Online. Convert PDF Online. WPF PDF Viewer. View Image to PDF. Image: Remove Image from PDF Page. Edit URL. Bookmark: Edit Bookmark. Metadata: Edit, Delete
rename pdf files from metadata; read pdf metadata online
236 | Page 
Ch a p t e r   2 0   –   D a t e   a n d   T i m e    
Copyright GetData Forensics Pty Ltd 2010 - 2015, All rights reserved.
20.1
DATE AND TIME IN COMPUTER FORENSICS 
Timestamps are often important in a computer forensics examination. The investigator 
should have a clear understanding of the subject before making critical conclusions. 
When date and time is in issue, the following verified information should be at hand: 
The time zone where the computer or device was operating when it was 
acquired; 
The time of the computer BIOS clock compared with a verified time source 
(e.g. a recorded time service) for that location. 
It is the file system in use which determines whether Modified, Accessed and Created 
(MAC) times are stored in local time or Coordinated Universal Time (UTC). Appendix 4 
- Summary of Date and Time, is a summary table of file system date and time, 
including the location of the source data interpreted by Forensic Explorer.  
Date and time attributes of individual files can be examined using the Filesystem 
Record view of the File System module (see 8.10 - Filesystem Record view, for more 
information). 
20.2
FAT, HFS, CDFS FILE SYSTEM DATE AND TIME 
FAT, HFS and CDFS store local date and time as per on the BIOS clock. There is no time 
zone adjustment. For example: 
A file stored at 11am is stored in the file system as 11am. 
When Forensic Explorer opens this file, the default file time will display as 11am. 
20.3
NTFS, HFS+ FILE SYSTEM DATE AND TIME 
NTFS and HFS+ file systems store date and time in Coordinated Universal Time (UTC), 
which in practical terms, when fractions of a second are not important, can be 
considered equivalent to Greenwich Mean Time (GMT). In order to display date and 
time information in a format relevant to the end users location, the UTC time is 
translated into local time using the computers time zone setting.  
20.4
DATE AND TIME INFORMATION IN THE WINDOWS REGISTRY 
Windows time zone settings are held in the Windows registry. They are set during 
install and can be modified at any time via the Time Zone Setting options of the 
control panel (shown below):  
Ch a p t e r   2 0   –   D a t e   a n d   T i m e  
237 | Page 
Copyright GetData Forensics Pty Ltd 2010 - 2014, All rights reserved. 
Figure 184, Windows 7 time zone settings 
As the time zone may be incorrectly configured or deliberately altered, it is necessary 
for the investigator to determine these settings so that the correct time zone offset for 
the case can be made. 
20.4.1
MANUALLY EXAMINE REGISTRY FOR TIME ZONE INFORMATION 
Registry files are located in the following path: 
Windows NT/2000: C:\Winnt\System32\config\ 
Windows XP/Vista and 7:  C:\Windows\System32\config\ 
This path contains the five hive files: 
SAM (Security Accounts Manager); 
SECURITY (Security information); 
SOFTWARE (Software information); 
SYSTEM (Hardware information); and, 
DEFAULT (Default user settings). 
(Note that each file has a corresponding repair file in case of corruption. Be sure to 
examine the active registry files.) 
To examine a registry file in Forensic Explorer the file must be first added to the 
Registry module.  
To add a stand-alone registry file: 
1.
In the Evidence module, commence a case or a preview; 
238 | Page 
Ch a p t e r   2 0   –   D a t e   a n d   T i m e    
Copyright GetData Forensics Pty Ltd 2010 - 2015, All rights reserved.
2.
Click on the Add File button and select the file. Forensic Explorer identifies a 
registry file by its file signature. The Evidence Options window displays with 
the option to add the hive to the Registry module. Click OK to proceed. 
To add a registry file from within an existing case or preview; 
1.
Locate the registry file in the file list view of the File System module; 
2.
Right-click on the registry file and select the Send to Module > Registry 
option from the drop down menu.   
REGISTRY - CURRENT CONTROL SET 
In order to locate relevant date and time information in the registry it is first necessary 
to determine the ͞current control set͟. This identifies the last system configuration 
booted by the computer.  
CurrentControlSet is identified using registry file: 
Registry file: C:\Windows\System32\config\SYSTEM 
And registry key: 
\Select\Current\  
The key Current is a pointer to the current control set. A Dword hex value of ͞01 00 00 
00͟ identifies the current control set to be:  
\ControlSet001 
(Note: A typical Windows installation contains at least two control sets.) 
REGISTRY - TIME ZONE INFORMATION 
Once the current control set is identified, Time Zone information can then be 
identified in the SYSTEM registry file under key:  
\CurrentControlSet\Control\TimeZoneInformation 
As shown in the Forensic Explorer Registry module in Figure 185 below: 
Ch a p t e r   2 0   –   D a t e   a n d   T i m e  
239 | Page 
Copyright GetData Forensics Pty Ltd 2010 - 2014, All rights reserved. 
Figure 185, Windows registry:  
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TimeZoneInformation 
Image file: NIST Hacking Case (14)  
The information in the registry includes: 
ActiveTimeBias: 
The number of minutes offset from UTC for the current 
system time. 
Bias:  
The number of minutes offset from UTC for the current time 
zone setting. 
DaylightBias:  
The number of minutes offset from UTC for the current time 
zone when daylight saving is in effect. 
DaylightName: 
The name of the time zone (daylight saving); 
DaylightStart:  
The date and time daylight saving starts; 
StandardBias: 
The number of minutes offset from GMT when standard 
time is in effect. 
StandardName:  
The name of the time zone (standard time); 
StandardStart: 
The date and time when Standard time starts. 
20.4.2
EXTRACT TIME ZONE INFORMATION USING A SCRIPT 
Registry information, including Windows date and time settings, is also available in 
Forensic Explorer by running the Registry Analyzer script. This script is provided with a 
default install of Forensic Explorer in the folder: 
\User\My Documents\Forensic Explorer\ Scripts\Registry\Registry Analyzer.pas 
The Registry Analyzer script can be run directly from the Scripts module, or using the 
toolbar shortcut Quick Scripts > Registry Analyzer located in the File System module. 
240 | Page 
Ch a p t e r   2 0   –   D a t e   a n d   T i m e    
Copyright GetData Forensics Pty Ltd 2010 - 2015, All rights reserved.
The Registry Analyzer script decodes the registry keys and provides output in the 
following format: 
Figure 186, NIST Hacking Case (14) Registry Analyzer script output 
\ControlSet001\Control\TimeZoneInformation\ActiveTimeBias = 300 
\ControlSet001\Control\TimeZoneInformation\Bias = 360 
\ControlSet001\Control\TimeZoneInformation\DaylightBias = -60 
\ControlSet001\Control\TimeZoneInformation\DaylightName = Central Daylight Time 
\ControlSet001\Control\TimeZoneInformation\StandardBias = 0 
\ControlSet001\Control\TimeZoneInformation\StandardName = Central Standard Time 
20.5
DAYLIGHT SAVING TIME (DST) 
Daylight saving time (DST), involves the advancing of clocks (usually by 1 hour) to add 
more daylight in the evenings at the expense of less daylight in the mornings. 
Depending on where you are in the world, it can be implemented on a country, region 
or state by state basis. Generally DST is a practice that is undertaken in summer 
months (when there is more daylight is available), meaning that it is implemented at 
different times in the Northern and Southern hemispheres. 
Forensic Explorer automatically adjusts the times for DST based upon when the date 
occurred. The investigator does not need to made additional changes. 
DST - UNITED STATES OF AMERICA 
In the United States, the days of the year when DST time changes were made (i.e. 
clocks put forward and the put back) were first regulated in 1986. In 2007, the Energy 
Policy Act extended these dates by and additional four weeks: 
United States DST 
Clocks forward 1 hour 
Clocks back 1 hour 
1986 - 2006 
First Sunday of April 
Last Sunday of October 
2007 onward 
Second Sunday of March 
First Sunday of November 
Microsoft released a patch for the NTFS file system to compensate for the 2007 
change (See http://support.microsoft.com/kb/931836 for further information). If the 
examiners forensic workstation is patched, Forensic Explorer will convert the dates in 
the additional four week period to have the new daylight savings time applied. 
Caution: This will apply to all date and times in this four week period, even those in 
2006 and prior. 
Documents you may be interested
Documents you may be interested