Что такое анализ временных зон в мобильных артефактах?

Проблема: Некорректная интерпретация временных меток в мобильных артефактах (логи звонков, SMS, GPS, системные события) из-за пересечения часовых поясов, перехода на летнее/зимнее время или ручной смены таймзоны на устройстве. Ошибки приводят к неверной хронологии событий, нарушению цепочки доказательств.

Причины:
- Устройства хранят метки в разных форматах: Unix time (epoch), UTC + смещение, локальное время без указания смещения.
- Разные артефакты (iOS: `.sqlite`, `plist`; Android: `/data/system_ce/`, `mmssms.db`) используют свои правила конвертации.
- Пользователь или злоумышленник мог изменять время/таблетки (например, для алиби).
- Исторические записи не учитывают переход на DST (Daylight Saving Time) — смещение меняется.

Решение:
1. Извлечение исходных меток: Всегда сохраняйте `raw timestamp` (Unix epoch) до конвертации. Не доверяйте «локальному» отображению.
2. Определение baseline: Получите точный часовой пояс устройства во время создания артефакта (из `sysproperties` Android или `timezone.plist` iOS). Используйте `adb shell getprop persist.sys.timezone` (Android) или `system_profiler SPSoftwareDataType` (iOS, из дампа).
3. Конвертация через IANA Database: Используйте библиотеки (Python `pytz`, `datetime`, SQLite `strftime` с явным указанием зоны). Пример для SQLite:

Если смещение известно — примените корректное: `datetime(epoch, 'unixepoch', '+03:00')`.
4. Верификация через другие артефакты: Сравните с сетевыми событиями (APN log, IP адреса из логов WebKit) или записями календаря/будильников — они синхронизируются с сетью и не зависят от ручной настройки.
5. Фиксация: В отчете указывайте: исходный UTC (Unix time), исходный часовой пояс устройства (включая исторические изменения), конечное локальное время с меткой временной зоны. Используйте `plistutil` для iOS, `sqlite3` с опцией `-header`.

Пример для Android (извлечение таймзоны):

Команда для анализа SQLite с историческим смещением (Python):