アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

削除ファイルの中身とメタ情報

TSKとAutopsyの組み合わせで、Ext2 ファイルシステムの削除ファイルを表示する場合、ディレクトリエントリの情報からファイル名を、inode からメタ情報を取得しているようですので、inode 番号が 再利用され、かついずれのファイルも削除状態にあると、どちらの削除ファイルのメタ情報が現在残っているのか特定することが、ディレクトリエントリとinodeのメタ情報からは(恐らく)できません。*1
上記の例でも、inode 番号 60305 を示しているディレクトリエントリが二つあり、タイムスタンプがどちらのファイルで利用していたものかを識別できませんが、Direct Blocks 249385 の内容は以下のようになっています。

Hex Contents of Fragment 249385 in redhat.dd-15261813-15791894

0	1f8b0800 d72c0742 0003e45b f973db46 	.... .,.B ...[ .s.F 
16	96f6afd2 5fd16212 8b94291e f2918915 	.... _.b. ..). .... 
32	a742cb92 cd0d758c 28dbeb72 3c2a1068 	.B.. ..u. (..r <*.h 
48	90884080 011aa439 3bfedfe7 7bafbb71 	..@. ...9 ;... {..q 
64	9094edec ca5bb5b5 ac544c02 ddaf5fbf 	.... .[.. .TL. .._. 
80	e37b47b7 a2a933db 7fd8fa5b b77def9b 	.{G. ..3. ...[ .}.. 
96	7d3a9d47 9d1f1f3f c6bf9dce 8f4f1e55 	}:.G ...? .... .O.U 
112	fe359f7b ddce41a7 fbe4e0c9 c383eebd 	.5.{ ..A. .... .... 
128	4eb7fbe3 8f0fef89 c7df8ea5 e293a5ca 	N... .... .... .... 

先頭の16進数 1f8b0800 から tgz ファイルの先頭シグネチャと推測して、恐らくこれは「/root/nmap-3.81.tgz」のデータであり、inode 60305 番のメタ情報は「/root/nmap-3.81.tgz」であると考えられますが、人によっては「/etc/httpd/conf/httpd.conf」のメタ情報と解釈するかもしれません。
コンピュータ・フォレンジック的には、この辺りの調査員によって見解が異なるケースが発生します。今回のケースはファイルの内容を確認すればなんとか識別可能な状況ですが、場合によっては判別がつかず、調査員が勝手な解釈で筋道を立ててしまう危険性がありそうな気がしています。
ちなみに、先日ちょっと書いた Autopsy の TYPE 表示は、こういった状況に対してディレクトリエントリの示すファイルタイプと、inode の示すファイルタイプの食い違いがあったりする場合には、判断材料の一つとしても利用できますね。

*1:特定する方法をご存知の方はぜひ教えてくださいm(_ _)m