読者です 読者をやめる 読者になる 読者になる

アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

Log2timeline(Ver 0.66)によるタイムラインの作成 mft

Log2timeline Ver 0.66 に含まれているパーサとして mft(Parse the content of a NTFS MFT file)があります。NTFS のマスターファイルテーブルをパースする為のものですが、単体で使った場合の状況を確認しておきたいと思います。

サンプルとして、NTFSファイルシステムから $MFT ファイルだけを取り出し、SIFT 3.0 の log2timeline ver 0.66 でパースしてみます。

root@siftworkstation:/cases# log2timeline -f mft -o csv -z UTC -log out1.log -w mfttimeline066.txt /cases/MFT/\$MFT 

出力結果は下記になります。日本語ファイル名も正しく処理されています。

date,time,timezone,MACB,source,sourcetype,type,user,host,short,desc,version,filename,inode,notes,format,extra

04/20/2014,01:54:29,UTC,..C.,FILE,NTFS $MFT,$SI [..C.] time,-,-,/こあら.jpg,/こあら.jpg,2,/こあら.jpg,37, ,Log2t::input::mft,-

07/14/2009,04:52:25,UTC,M...,FILE,NTFS $MFT,$SI [M...] time,-,-,/こあら.jpg,/こあら.jpg,2,/こあら.jpg,37, ,Log2t::input::mft,-

04/20/2014,01:54:13,UTC,.A.B,FILE,NTFS $MFT,$SI [.A.B] time,-,-,/こあら.jpg,/こあら.jpg,2,/こあら.jpg,37, ,Log2t::input::mft,-

このサンプルでは、JPEG画像をコピーした後で、ファイル名を Koara.jpg から こあら.jpg に変更していますが、$FN は出力されないようですね。基本的には $SI のみをパースするという理解で良いのでしょうか。

 

上記の例ではボリューム直下にファイルがあった状況でしたが、フォルダ配下にファイルがある場合には下記のようになります。

04/20/2014,02:13:30,UTC,..C.,FILE,NTFS $MFT,$SI [..C.] time,-,-,/新しいフォルダー/こあら.jpg,/新しいフォルダー/こあら.jpg,2,/新しいフォルダー/こあら.jpg,37, ,Log2t::input::mft,-