アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

AutopsyのTYPE項目

Autopsy の FILE ANALYSIS を使い、Ext ファイルシステムのファイル/フォルダを表示した際、表示項目として以下のような表示箇所があります。

Type
dir/in

Autopsy の HELP に書いてありますが、最初の dir 部分がディレクトリエントリの情報、in が inode テーブルの情報を表示していることになります。
ですので、ここには r/r や d/d といった形で、ファイルが通常ファイルなのかフォルダなのか、シンボリック・リンクなのかといった情報を表示してくれます。(通常は r/r のように両方が一致)

TYPE表示項目
r 通常ファイル
d ディレクトリ
b ブロック
l シンボリック・リンク
p パイプ
s ソケット
c キャラクタ

ファイルが削除されたようなケースでは、r/l のように、ディレクトリエントリの情報と、現在の inode 情報とが異なって表示される場合が発生することになります。
例えば、

1.通常ファイル hoge.txt、inode 番号 38 が削除される
2.ディレクトリ fuga が作成され、inode 番号 38 が再利用され割当てられる
3.Autopsy で削除ファイルを確認すると、ディレクトリエントリは r、inode は現在の inode 番号 38 が持っている d から、hoge.txt は r/d と表示される

となるわけですかね。
悩ましいのは、削除ファイルと、現在の inode 番号の情報が一致している場合、例えば r/r などの場合には、現在の inode 情報が再利用されたものであるのか判断が困難という点ですかね。

1.通常ファイル hoge.txt、inode 番号 38 が削除される
2.ファイル fuga.txt が作成され、inode 番号 38 が再利用され割当てられる
3.Autopsy で削除ファイルを確認すると、ディレクトリエントリは r、inode は現在の inode 番号 38 が持っている r から、hoge.txt は r/r と表示される*1

*1:しかし、実際にはファイル fuga のメタ情報となっている