アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

タイムスタンプ方面

Windows Vistaでの最終アクセス日時(Atime)についての資料。

Vista Timestamps
http://digfor.blogspot.com/2009/07/vista-timestamps.html

基本的な動作は Windows 7 でも同じだと思いますが、なかなか興味深いのでほかのファイル種類についても、Windows 7 ベースで今度調べてみたい。<4/15 追記>
すでに Windows 7 でのタイムスタンプ変化について調べた人がいた。アプリケーションの種別については引き続きこんど確認したいと考え中。

Windows 7 MFT Entry Timestamp Properties
http://blogs.sans.org/computer-forensics/2010/04/12/windows-7-mft-entry-timestamp-properties/

File Deletionで MFT レコードに変化がある項目が記載されているが、これって何が変化しているのかが気がなる。ゴミ箱への移動の意味ではない気がするので、詳しく調べたい。しかし外出続きで時間がない・・・