アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

Ext2の削除エントリ(Sleuthkit&Autopsy)

今回の実習でも狙ったかのように(笑)、調査対象としなければいけない一部の削除ファイルのエントリ情報として、以下のような inode 情報を表示するものがありました。

Pointed to by file:
/5/etc/httpd/conf/httpd.conf~ (deleted)

/5/root/nmap-3.81.tgz (deleted)

File Type (Recovered):
POSIX tar archive (gzip compressed data, from Unix, last modified: Mon Feb 7 17:54:47 2005) 
MD5 of recovered content:
9b32f74e2f6999e4f7668a24f2a1ea85

SHA-1 of recovered content:
9d1ce1ab3e097ce5d61078fd4bc713f9b701fa1c

Details:

inode: 60305 
Not Allocated 
Group: 30 
Generation Id: 1519932172 
uid / gid: 0 / 0 
mode: -rw-r--r-- 
size: 1846196 
num of links: 0 

Inode Times: 
Accessed: Tue Sep 5 20:02:15 2006 
File Modified: Tue Sep 5 20:02:05 2006 
Inode Modified: Tue Sep 5 20:08:54 2006 
Deleted: Tue Sep 5 20:08:54 2006 

Direct Blocks: 
249385 249386 249387 249388 249389 249390 249391 249392 

inode 番号 60305 をポイントしているディレクトリエントリが二箇所あり、それぞれファイル名として「/etc/httpd/conf/httpd.conf~」と「/root/nmap-3.81.tgz」になっています。
さて、この inode 番号 60305 は、どちらの削除されたファイルのタイムスタンプを示しているのでしょうか?
回答例:「ガルマ様、なぜ、なぜなの!?」