wer kann mir helfen eine xml datei zu verstehen

Hallo Zusammen,
bin neu hier und brauche eure Hilfe.
Ich habe eine Audiodatei bekommen (.ds2) und anhängend eine Datei mit xml geschrieben. Hierin sind Zeitstempel und andere Befehle enthalten die ich nicht lesen kann. Da ich gerne wissen möchte ob die Audiodatei im nachhinein bearbeitet worden ist, bin ich auf der Suche nach Unterstützung...:rolleyes:
 
Zuletzt bearbeitet:
Hallo Zusammen,
bin neu hier und brauche eure Hilfe.
Ich habe eine Audiodatei bekommen (.ds2) und anhängend eine Datei mit xml geschrieben. Hierin sind Zeitstempel und andere Befehle enthalten die ich nicht lesen kann. Da ich gerne wissen möchte ob die Audiodatei im nachhinein bearbeitet worden ist, bin ich auf der Suche nach Unterstützung...:rolleyes:

Bist du Gutachter oder Rechtsanwalt?

Es handelt sich scheinbar um eine Datei aus einem Diktiergerät.
In der XML-Datei sind vermutlich Timestamps abgelegt (start/stop der Aufnahme).

Ich würde nach einer Formatbeschreibung suchen und evtl. hier anfragen: Audio - Olympus
 
Hier die Datei

ich bin weder Gutachter noch Rechtsanwalt, nur eine neugierige Person :)
Ok, gute Idee mit Audio-Olympus. Werde auch das mal versuchen.


Doch falls jemand mal drüberschauen möchte - hier ist die Datei.
ich sag schon mal danke....
 
OK, ganz einfach.

Die XML-Datei beschreibt die in der Audiodatei erfassten Sessions.
Diese sind immer durch einen Timestamp angegeben.
Vergleiche jeweils die Laufzeiten der Aufnahmen (Länge Messen/Uhr) mit den Zeiten zwischen 2 Timestamps (start/stop), ob es zusammenpasst.

Das schließt aber nicht aus, dass jemand beides manipuliert hat!

Für weitere Analysen müsste man sich mit dem Audioformat auseinandersetzen.
Ich bin aber auch kein Gutachter.. :)
 
Zuletzt bearbeitet:
Danke Magic. Tja ich bin weder ein Tontechniker noch ein Gutachter. Aber ich hab jetzt mal bei Olympus eine Formatsbeschreibung angefordert.
Mal sehen ob die mir sowas schicken.
Die Zeitstempel am Anfang stimmen, aber es gibt auch ein deleted Datum, das macht das ganze so spannend :)
 
Ich vermute mal, dass deleted date die Zeit angibt, in welcher die Audiodatei vom Gerät gelöscht wurde, nachdem es zuvor schon mal heruntergeladen wurde. Sonst würden sich deleted-date-tags auch in der Historie befinden.

Zu meiner vorherigen Aussage: Die Timestamps geben nur den jeweiligen Start der Aufnahme an, also fehlt dir noch die duration (Dauer) der Aufnahme.
Ich dachte erst, dass das Process-Tag den Wert enthält, aber für Sekunden wären die Werte evtl. zu lang (bsp. 1103) und Millisekunden ist zu kurz.

Da musst du nochmal schauen..
 
Zuletzt bearbeitet:
Gehen wir die Datei doch mal durch:

Code:
<root>
<dictation>
    <system_name>DSSPlayerProR5</system_name>
    ...
    <completed_date>[B]2016-04-27T14:20:28.000[/B]</completed_date>
    <created_date>[B]2016-04-27T13:33:44.000[/B]</created_date>
    <deleted_info>
      <deleted_date>[B]2016-05-30T06:36:19.079[/B]</deleted_date>
    </deleted_info>
     ...
    <downloaded_date>[B]2016-04-27T14:41:11.625[/B]</downloaded_date>
    <edit_history>
      <operation1>
        <process_time>[B]2016-04-27T14:41:11.765[/B]</process_time>
        <process>1103</process>
        <category>1</category>
        ...
        <additional_value>L:\DSS_FLDA\0138.DS2</additional_value>
      </operation1>
      <operation2>
        <process_time>[B]2016-04-27T14:41:11.775[/B]</process_time>
        <process>1501</process>
        <category>2</category>
        ...
      </operation2>
      <operation3>
        <process_time>[B]2016-04-29T11:45:36.009[/B]</process_time>
        <process>1202</process>
        <category>1</category>
        ...
      </operation3>
      <operation4>
        <process_time>[B]2016-04-29T12:12:37.587[/B]</process_time>
        <process>1204</process>
        <category>1</category>
        ...
      </operation4>
      <operation5>
        <process_time>[B]2016-05-30T06:36:19.079[/B]</process_time>
        <process>1114</process>
        <category>2</category>
        ...
      </operation5>
      <operation6>
        <process_time>[B]2016-05-30T06:36:19.079[/B]</process_time>
        <process>2003</process>
        <category>2</category>
        ...
        <original_value>3.3</original_value>
        <after_value>7.3</after_value>
      </operation6>
      <operation7>
        <process_time>[B]2016-06-13T11:02:07.388[/B]</process_time>
        <process>1115</process>
        <category>1</category>
        ...
      </operation7>
      <operation8>
        <process_time>[B]2016-06-13T11:02:07.388[/B]</process_time>
        <process>2003</process>
        <category>2</category>
        ...
        <original_value>7.3</original_value>
        <after_value>0.3</after_value>
      </operation8>
      <operation9>
        <process_time>[B]2016-06-13T11:07:49.380[/B]</process_time>
        <process>1501</process>
        <category>2</category>
        ...
      </operation9>
    </edit_history>
    ...
    <audio_format>[B]2[/B]</audio_format>
    <target_file>[B]W0138.DS2[/B]</target_file>
    <targe_path>[B]G:\Diktate\WFf[/B]</targe_path>
    ...
    <last_moved_date>[B]2016-06-13T11:02:25.616[/B]</last_moved_date>
    ...
     <transcription_completed>[B]2016-04-29T12:12:37.587[/B]</transcription_completed>
     <transcription_started>[B]2016-04-29T11:45:35.956[/B]</transcription_started>
        ...
</dictation>
</root>

Ohne konkreten Informationen zu Format und Validität der Datei selbst, könnte man auf folgende Indizien schliessen:

  • Das Diktat wurde am 2016-04-27 um 13:33:44 gestartet und bis zum 2016-04-27 um 14:20:28 geführt. Es hat daher eine Länge von 00:46:44.
  • Es wurden neun Operationen auf den entstandenen Daten durchgeführt:
    1. 2016-04-27 um 14:41:11.765, Prozess 1103 (Additional value: L:\DSS_FLDA\0138.DS2 - Überprüfen! Mglw. Quell- oder Zieldatei der folgenden Download-Operation)
    2. 2016-04-27 um 14:41:11.775, Prozess 1501 (entspricht downloaded_date + 00:00:00.150)
    3. 2016-04-29 um 11:45:36.009, Prozess 1202 (entspricht transcription_started - 00:00:00.53)
    4. 2016-04-29 um 12:12:37.587, Prozess 1204 (entspricht transcription_completed)
    5. 2016-05-30 um 06:36:19.079, Prozess 1114 (entspricht Delete)
    6. 2016-05-30 um 06:36:19.079, Prozess 2003 (entspricht Delete)
    7. 2016-06-13 um 11:02:07.388, Prozess 1115 (entspricht Move - 00:00:18 )
    8. 2016-06-13 um 11:02:07.388, Prozess 2003 (entspricht Move - 00:00:18 )
    9. 2016-06-13 um 11:07:49.380, Prozess 1501 (entspricht Move + 00:05:24, deutet auf weiteren Download hin)
  • Die Datei wurde verschoben:
    • Original Ort aus <original_location>: D:\FB\Abgeschlossene Diktate\WF0138.DS2
    • Neuer Ort: G:\Diktate\WFf\W0138.DS2
    • Datum: 2016-06-13 um 11:02:25.616 (siehe Operationen 7-8 )
    • Ansatz: Wiederherstellung der Originaldaten durch Filesystem Forensik?
  • Die DS2 Datei wurde im Format 2 gespeichert. Die Audiodatei könnte weitere Informationen enthalten. Die Forensik von Audioinformationen könnte allerdings möglicherweise aufwändiger werden (z.B. geänderte Parameter je nach Format, Abgrenzung zu Aufnahmefehlern, usw..)
  • Die Datei (Original? Kopie?) wurde am 2016-05-30 um 06:36:19.079 gelöscht (Operationen 5 und 6, Prozess 1114 und 2003).
  • Auf Basis der Informationen hier im Thread könnte das <transcription_{started,completed}>-Tag darauf hindeuten, dass am 2016-04-29 um 11:45:35.956 eine Übersetzung der Stimmaufzeichnung in Text ("Transkription") gestartet wurde, die am 2016-04-29 um 12:12:37.587 beendet wurde (siehe Operation 4, Prozess 1204).
  • Es gab möglicherweise zwei Downloads vom Gerät (Operation 2 und 9).

Ergebnis: Die XML-Informationen enthalten keine Hinweise auf eine Änderung der Audiodaten. Ohne Originaldaten, Hashsummen oder Signaturen sagt das aber sehr wenig aus und würde vor Gericht mit hoher Wahrscheinlichkeit abgelehnt werden. Auch können die XML-Daten selbst gefälscht sein, die Audiodaten könnten direkt bearbeitet worden sein, usw.. Ein professioneller Ansatz wäre daher die Untersuchung der Audiodaten sowie des Geräts (z.B. Dateisystem, Allgemein Möglichkeit zur Änderung der Audiodaten, Möglichkeit der Modifikation des Logfiles, Interne Operationen, usw..) selbst.
 
Zuletzt bearbeitet:
Zurück
Oben