今回 SANS の公開している資料がかなり役立ちました。 exFAT 構造解析 http://homepage3.nifty.com/k-takata/diary/exFAT.txtReverse Engineering the Microsoft exFAT File System http://www.sans.org/reading_room/whitepapers/forensics/reverse-enginee…

exFATではディレクトリエントリ（85タイプのレコード）に、CWA のタイムスタンプに関連してタイムゾーン情報が CWA 順に1バイトずつ保存されています。 日本のタイムゾーン（+9）の場合には、タイムゾーンの値として 0xA4 が設定されることになりますが、こ…

5バイト長の DOS タイムスタンプをデコードする場合、TimeLoad ツールを使えば簡単にデコードすることができると教えていただいたので忘れないうちにメモ。 TimeLord by Paul Tew A Time Utility for Forensic Analysts http://computerforensics.parsonage.…

exFATの作成日時については、分解能が 10ms になっているので、DOS タイムスタンプとしては 5バイト長になっています。（奇数秒まで取り扱えるようになっている）これまた EnCase の話になりますが、EnCase で exFAT の作成日時は 4バイト長の DOS タイムス…

exFAT ボリュームのフォーマット日時が識別できるか調べてみたのですが、該当するような情報は発見することができず。 ボリュームのフォーマット後、$RECYCLE.BIN フォルダが自動的に作成されるので、厳密ではないですが、$RECYCLE.BIN のタイムスタンプを確…

FNG では2回目となる exFAT の解析ですが、今回は主にディレクトリエントリにおけるタイムスタンプの取り扱いについて確認してみました。 すっかりメモをまとめるのが遅くなったので、若干失念している点があるかもしれませんが、間違っていたりすれば、きっ…