アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

タイムスタンプの検索

EnCase でしか使えませんが、64bit タイムスタンプ値を検索する EnScript などもあります。

Search for Windows 64 bit TIMESTAMPS
http://www.forensickb.com/2008/01/search-for-windows-64-bit-timestamps.html

指定した時間範囲にあるタイムスタンプと考えられるバイト部分をブックマークしてくれるのだと思いますが、これはこれで中々興味深いアプローチですね。メモリフォレンジックなどの分野では考え方として面白いかもしれません。
NTFS の場合には 100ns でのカウント値が 64bit 整数値で入っていますが、例えば 2009/10/06 13:14:32 +0900 の作成日時を持つ下記三つのファイルがあるとします。64bit タイムスタンプ値はディスク上には以下のバイト列で記録されています。この三つのファイルはいずれも秒数表示でいくと 13:42:32 となりますが、ナノ秒でいくと C → A → B の順に作成されたことが 64bit 整数値とかに変換すれば簡単にわかります。

FA8B78813B46CA01 a.txt
9439C7813B46CA01 b.txt
000450813B46CA01 c.txt

ただし、手元の EnCase では上記タイムスタンプ(File Created)でソートした場合に、A → C → B の順にソートするので、ナノ秒での順序とは違う結果になるようです。Windowsエクスプローラで作成日時順にソートした場合には、ちゃんと C → A → B の順に表示してくれるようです。エクスプローラナノ秒まで識別しているのかは謎ですが並びは正しくなっています。エクスプローラでも駄目な様子。

Windows の 64bit タイムスタンプをナノ秒単位まで表示するツールがないなぁなどと呟いて言たら、斜め後ろの席の人が画面作ってくれました。*1ありがとうございます!!

tsconv
http://www.kazamiya.net/tsconv

EnCase とかで 64bit タイムスタンプを 16進数でコピーして貼り付ければコンバートしてくれます。便利デースといいつつ、クリアボタン付けて欲しいとか、タイムゾーンの値は調整できる方が嬉しいとか言ってみたり。

*1:危なく隣の席の人に新たな無理をお願いするところでした