@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

調査員が読み違えてミスった事例

なかなか使えそうな情報ですが、Prefetch フォルダに置かれたファイルの実行ユーザを調査員が読み違えてしまった事例が紹介されています。

Digital Forensic Readiness: Are You In?
http://www.esecurityplanet.com/best_practices/article.php/3572896

調査員は、犯人と思しき人間が証拠隠滅のためにデフラグを実行したと推測したわけですが、システムが実行していたもので調査員の推測が間違っていたということのようです。
Prefetch フォルダにファイルがあるからといって、必ずしもユーザが実行したものではなく、システムが実行したものも含まれている点に注意が必要つーことですね。
もう少し詳細に検証したスライドが以下にあります。

Wrong Conclusions, Bad Testimony
http://www.techsec.com/TF-2005-PDF/GregKelley.pdf
http://www.techsec.com/html/ForensicsAgenda.html
Evaluating Commercial Counter-Forensic Software(スライド18)
http://www.dfrws.org/2005/proceedings/geiger_counterforensics_slides.pdf

確認は大切ですね。