アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

Windows 7関連の資料

Windows 7フォレンジック調査におけるポイントを解説した資料として、Harlan Carvey氏とTroy Larson氏のDigital Crimes Consortium 2009における発表資料?が下記URLで公開されています。
全体では107ページと大作PDFファイルですが、なかなか興味深い資料になっています。解説がないので図だけで推測しないといけないページも多いのですが、押さえるべきポイントの参考になるのではないかと思います。

Forensic Review of Windows 7 - Part III
http://www.forensickb.com/2010/01/forensic-review-of-windows-7-part-iii.html

個人的には VSS 関連として、P82のスクリーンショットレジストリキーをマウントしている様子が出ているのですが、これは恐らく System Volume Informationフォルダ配下にある Syscache.hve だと思うのですが、この内容についての説明だとすればぜひ聞いてみたい箇所です。このレジストリファイル内には Index Table とかあるのですが、これが VSS とどの様な関連性があるのか...単純にシステム以外のボリューム上には存在していないので、OS関連だろうと推測していますが、検索してもほとんど情報ないですね。「システム設定とファイルの以前のバージョンを復元する」ではなく、「ファイルの以前のバージョンのみを復元する」が選択されている状態でもSyscache.hveファイルは作成されているのと、システムの保護を「無効」に構成してもそのままみたいですね。
Windows 7 に Sticky Notes の機能があるということを、初めて知ったんですが、日本語版では「付箋」というメニューなんですね。

Sticky Notes
http://windows.microsoft.com/en-us/windows7/products/features/sticky-notes
http://windows.microsoft.com/ja-JP/windows7/products/features/sticky-notes

P74のテキスト部分はUTF-16LEで(日本語も)可読可能みたいですが、64bit Windows タイムスタンプのフィールドが二つ関連して存在するようで、これは作成日時と更新日時とか?と思ったんですが、よくよく見るとRoot Entryとかが存在しているので、Officeの複合ファイルですね>StickyNotes.snt
OffVisにてOLESSFormatを試してみましたけど、パースできないみたいですね。とはいえ、二つのタイムスタンプは、ディレクトリエントリのCreateとModifyのタイムスタンプな気がしますね。
いずれ FNG でこのファイル構造を調べるのをやってみることにしよう。(次回 1/16 の FNG09 はすでにテーマ決まっているのでしばらく先かな?)<追記>
Structured Storage Extractor を使うと Windows 7 の StickyNotes.snt ファイルがパース可能みたいですね。

http://www.simplecarver.com/tool.php?toolname=Structured Storage Extractor