アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

タイムラインの順序

ファイルシステムにおけるタイムスタンプの分解能とか、ツールの精度によるかもしれませんが、サンプルの事例では secret.txt の Atime と cat の Atime は同時刻のため順序的にはアクセスされたファイルのほうが上に来ています。タイムラインを読む時はこの並びには結構注意する必要があるところですかね。このタイムライン出力順序の通りに、何らかの動きがあったということではないということですよね。
NTFS などは 100ns の分解能をもっていますので、その気になれば?より精度の高いレベルでタイムスタンプをデコードすることも可能ですが、ツールによってまちまちな様子で...あれ?ナノ秒デコードツールの URL がわからない...あ!あった。

Comparison of handling less than one second
http://www.kazamiya.net/node/154
tsconv
http://www.kazamiya.net/tsconv

Atime は変化しやすいので、catコマンドのように一般的によく使われそうなコマンドの場合、他の人が cat コマンドを実行するとその時刻に上書きされ、secret.txt とは離れた位置(より新しい時刻)で表示されてくる可能性があります。Atime に気を使う場合には、ログインの操作段階から含めて、ツールも別途用意した安全なのものを使うとか、タイムライン上でも区別できるような方法を取るほうがいいかもしれません。
Windows 方面では、そもそも最近の OS は Atime 更新しい設定になっていたり、更新したとしてもウイルス対策ソフトのスキャンの時刻になってたりとなかなか難しい状況だったりするかもしれませんが。