順を追って SI と FN の変化を見ていきます。 ファイルを新規に作成すると、SI と FN には作成日時として同じ値が記録される ハードリンクを作成すると、 FN2 にその時点の SI の値が記録される ファイル（FN1）を移動すると、その時点の SI が FN に記録さ…

ファイル MACE.TXT に対して、NTFS ハードリンクを設定したところです。*1 ちょっとわかりにくいかもしれませんが、赤字で「30」となっている箇所が $FILE_NAME の属性値を示しており、MACE.txt と hardlink.txt の二つの $FILE_NAME 属性がこのレコードには…

ファイル名：MACE.txt の ＄MFT レコードを 16進形式で表示しているところですが、UTF-16LE で 0xF2 の辺りからファイル名が記録されているのがわかるかと思います。このファイル名を記録している属性値（＄FILE_NAME）が持つタイムスタンプが少し上にあり、…

timestomp はフォレンジック調査においてタイムスタンプが使われるのに対抗するための Anti-forensics ツールで、MACE タイムスタンプを表示・変更することが可能なツールです。平たく言えばタイムスタンプの変更ツールなわけですが、1601年〜30827年の任意…

今頃かよ！という噂もありますが、前々回*1のセキュ蕎麦の資料を以下の URL に置きました。*2 Time Stamp vs Time Stomp http://forensics.sakura.ne.jp/PPT/20051105-soba-ihara.pdf Metasploit Anti-forensics homepage で公開されている timestomp という…