読者です 読者をやめる 読者になる 読者になる

アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

Windows 7でのメモ帳起動後のテスト

Windows XPではアクセサリから起動した Notepad.exe にオブジェクトIDが付与されているみたいなのですが、Windows 7では付与されないみたいなので、呼び方をいろいろなパターンでテスト。

C:\Windows\system32>fsutil objectid query c:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4\notepad.exe
指定されたファイルにはオブジェクト ID がありません

C:\Windows\system32>fsutil objectid query c:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a\notepad.exe
指定されたファイルにはオブジェクト ID がありません

C:\Windows\system32>fsutil objectid query C:\Windows\system32\notepad.exe
指定されたファイルにはオブジェクト ID がありません

C:\Windows\system32>fsutil objectid query c:\Windows\notepad.exe
指定されたファイルにはオブジェクト ID がありません

んーどれもだめですか、ただ ObjectID が付与されている EXE もあるので、なんでしょうかね?>実行ファイルで付与されているものとの違い。
例えば、Windows 7 にインストールしてある iTune には ObjectID が付与されている。

C:\Windows\system32>fsutil objectid query "C:\Program Files\iTunes\iTunes.exe"
Object ID : 44cec281f13cdf11bb8000ac6178ea4c
BirthVolume ID : 6adb4ed20972dd4499a38def5709da1a
BirthObjectId ID : 44cec281f13cdf11bb8000ac6178ea4c
Domain ID : 00000000000000000000000000000000

タイムスタンプとかすぐにデコードできないので、いつの時点で付与されたのか確認してないんですけど。<追記>
よく考えたら、デスクトップにショートカット(LNK)がインストール時に作成されているので、そのタイミングで ObjectID が生成されますね。