アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

スライド3 timestomp

timestomp はフォレンジック調査においてタイムスタンプが使われるのに対抗するための Anti-forensics ツールで、MACE タイムスタンプを表示・変更することが可能なツールです。平たく言えばタイムスタンプの変更ツールなわけですが、1601年〜30827年の任意の時刻を MACE に設定できます。(一般的なタイムスタンプ変更ツールが E を変更できないのに対して timestomp では可能)
「-b」オプションを使うと、タイムスタンプをまったく「無し」にすることもできちゃいます。NTFS の CI と FN の関係、timestomp の動作については下記の資料で解説されていますのでそちら参照ということで。*1

The Metasploit Anti-Forensics Project v2
http://www.metasploit.com/projects/antiforensics/BlueHat-Metasploit_AntiForensics.ppt

単に timestomp を使っても消えてないタイムスタンプとして FN がありますよ〜というのが上記資料でも解説されています。
そこで、SI と FN の関係を記録されているデータから追っかけてみたのが今回の資料だったりするわけです。

*1:手元の XP で timestomp を日本語・英語版OSの両方で試したのですが、一部のオプションがうまく動いてくれず