Ext2の削除エントリ(Sleuthkit&Autopsy)
今回の実習でも狙ったかのように(笑)、調査対象としなければいけない一部の削除ファイルのエントリ情報として、以下のような inode 情報を表示するものがありました。
Pointed to by file: /5/etc/httpd/conf/httpd.conf~ (deleted) /5/root/nmap-3.81.tgz (deleted) File Type (Recovered): POSIX tar archive (gzip compressed data, from Unix, last modified: Mon Feb 7 17:54:47 2005) MD5 of recovered content: 9b32f74e2f6999e4f7668a24f2a1ea85 SHA-1 of recovered content: 9d1ce1ab3e097ce5d61078fd4bc713f9b701fa1c Details: inode: 60305 Not Allocated Group: 30 Generation Id: 1519932172 uid / gid: 0 / 0 mode: -rw-r--r-- size: 1846196 num of links: 0 Inode Times: Accessed: Tue Sep 5 20:02:15 2006 File Modified: Tue Sep 5 20:02:05 2006 Inode Modified: Tue Sep 5 20:08:54 2006 Deleted: Tue Sep 5 20:08:54 2006 Direct Blocks: 249385 249386 249387 249388 249389 249390 249391 249392
inode 番号 60305 をポイントしているディレクトリエントリが二箇所あり、それぞれファイル名として「/etc/httpd/conf/httpd.conf~」と「/root/nmap-3.81.tgz」になっています。
さて、この inode 番号 60305 は、どちらの削除されたファイルのタイムスタンプを示しているのでしょうか?
回答例:「ガルマ様、なぜ、なぜなの!?」