読者です 読者をやめる 読者になる 読者になる

アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

Excelファイルを開いて・閉じた場合のNTFS上の動き

Facebookで参考になるURLを教えていただきましたが、動作としては以下のようになっているようです。

  1. まずサンプルのExcelファイル(拡張子XLS)を用意
  2. サンプルXLSファイルのMD5ハッシュ値を確認(e9bae5bf53d8cc0b8f55b1cda53b616c)
  3. サンプルXLSファイルのNTFS File Identifierは381793
  4. 最終更新日時: 2013/08/19 19:43:34
  5. Root Entryに記録されているOpenタイムスタンプ:2013/08/19 19:45:17
  6. サンプルXLSファイルをオープン
  7. ファイルをオープン中の最終更新日時:2013/08/20 08:37:32
  8. サンプルXLSファイルを保存せずにクローズ
  9. クローズ後の最終更新日時:2013/08/19 19:43:34
  10. クローズ後のMD5ハッシュ値を確認(adbfddc88bdcf13bdb1983de47cb4436)
  11. クローズ後のRoot Entryに記録されているOpenタイムスタンプ:2013/08/20 08:37:32

この流れからすると、ファイルのオープン時に更新されていて、その後Excelファイルが閉じられたタイミングでファイルのタイムスタンプは戻すが、ファイル内のオープン時刻を更新しているのハッシュ値は変化するという事みたいですね。
読み取り専用フラグを設定している場合にはこの現象は出ませんので、ファイルオープンによる値の更新が発生しないようにする場合にはライトブロックするか、読み取り専用フラグを設定してから開いた方が安全ですね。

ファイルを開いても保存しなければ安全さ!!、というのはExcelには通じないという事になるので要注意ですね。