@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

2009-10-06から1日間の記事一覧

タイムスタンプの改ざん

タイムスタンプ自体は容易に変更が可能ですし、アンチフォレンジックツールとしては Timestomp があります。Timestomp は意図的に $FILE_NAME 属性のタイムスタンプはそのまま残して $SIA のみ変更してくれますが、$FILE_NAME のタイムスタンプとかまで引っ…

タイムスタンプの検索

EnCase でしか使えませんが、64bit タイムスタンプ値を検索する EnScript などもあります。 Search for Windows 64 bit TIMESTAMPS http://www.forensickb.com/2008/01/search-for-windows-64-bit-timestamps.html 指定した時間範囲にあるタイムスタンプと考…

なぜBODYファイルなのか

記憶が定かではないのですが、確か TCT の出力で body ファイルを作ることになっていて、後から開発された TSK なども、その歴史的な経緯から body というファイルを引き続きタイムライン情報の出力用ファイルとして使っているということでしょうかね。 そも…

NTFS 代替データストリームの日時

NTFS 代替データストリーム(NTFS Alternate Data Streams )のデータにはタイムスタンプがありません。メインストリームのファイルについてはタイムスタンプがありますが、追加ストリームにはタイムスタンプ情報などが無いので代替データストリームにあるデ…

ファイルシステム トンネリング機能

以前に書いてありましたので、こちら参照ください。 http://d.hatena.ne.jp/hideakii/20070617 このファイルシステム トンネリング機能と同じようにタイムスタンプを維持する機能が、Linux 系のファイルシステムでも存在していると思ったのですが、何という…

Dtime

ext2fsなどでは、MAC 以外のタイムスタンプとして Dtime も存在しているかと思います。使われているのかよく知らないのですが、The Sleuth Kit などを使っていると、ext2 ファイルシステムで Dtime の値が表示されてくることがあると思うので、値としては入…

分解能

FAT・NTFSの分解能はプラットフォーム SDK GetFileTime で下記のように説明されています。 注意 すべてのファイルシステムが、作成時刻と最終アクセス時刻を記録できるわけではありません。また、すべてのファイルシステムがそれらの時刻を同じ形式で記録し…

NTFSの最終アクセス日時

NTFSでは最終アクセス日時の分解能が1時間となっています。これは、1時間以内の同種のアクセスについては最終アクセス時間を更新しないというパフォーマンス向上を目的としたものになります。最終アクセス日時の更新基準については、以下の記述が参考になり…

FATの最終アクセス日時

FAT ファイルシステムの場合、ディレクトリエントリの構造としてそもそも最終アクセス日までしか記録されていません。ディレクトリエントリでは最終アクセスに関しては時刻がそもそも記録されてないので取れないということになりますが、ツールによっては便…

作成日時

Windows における“作成日時”は、ファイルシステム上でそのファイルが作成された日時を示していて、純粋にそのファイルが作成された日時とは異なります。ファイルがコピーや移動されたりした時に、異なるファイルシステム上に新たに作成されるとその作成日時…

MACtimeのお話

フォレンジック調査ではよく耳にすることが多い MAC time や timeline というお話ですが、原典が何かはよく知らないのですが、私が勉強を開始した頃の資料としては、The Coroner's Toolkit (TCT)*1 でのお話がメジャーでした。あれ?確か TCT ツールキットの…

マックタイムに関する古典的な話題のまとめ

会社では14時頃から気分転換をかねた勉強会?とかしているのですが、最近 Timeline 系の話題がよく出るので、MAC time のおさらいをかねて、古典芸能な内容をメモ的に取りまとめ中。*1突っ込みとかコメントなどありましたら大募集ということで ;-) *1:個人的…