@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

USN Analytics と Folder

 Forensicistさんが、USN Analyticsツールを公開されています。USN Analytics ツールは、$J をパースするだけでなく、フォルダ構造も解析してくれます。

つまり、$MFT ファイルを利用せずに、フォルダ構造をある程度再現できます。

サンプルのフォルダ構造を、テスト用の NTFS ボリューム上に作成します。

E:\>mkdir folder1
E:\>cd folder1
E:\folder1>mkdir folder2
E:\folder1>copy c:\case\sample.jpg e:\folder1\folder2\

f:id:hideakii:20180210110855p:plain

USN Analytics で $J をパースした結果は下記になります。Path のカラムでフォルダ構造を確認できます。

f:id:hideakii:20180210111701p:plain

 次に、Folder1 を削除し、新規にファイルを作成します。新規ファイルを作成した事により、Folder1 の FILE レコードが上書きされます。

E:\>rmdir /S /Q folder1
E:\>echo sample > zaki.txt

sample.jpg ファイルは $OrphanFiles 配下で確認できます。

f:id:hideakii:20180210112332p:plain

USN Analytics の結果を確認します。Sample.jpg の Path から、Folder1 が過去に存在していた事を確認できます。

f:id:hideakii:20180210112814p:plain

 更にファイルを作成し、Folder2 と Sample.jpg の FILE レコードを上書きします。

E:\>echo sample2 > zaki2.txt
E:\>echo sample3 > zaki3.txt

$OrphanFiles 配下には痕跡が残っていません。

f:id:hideakii:20180210113854p:plain

USN Analytics の結果を確認します。これまでの操作状況が分かります。

f:id:hideakii:20180210114311p:plain

フォルダを作成し、USN Journal を削除します。

E:\>mkdir folder1
E:\>fsutil usn deletejournal /D E:

USN Journal を有効にし、フォルダとファイルを作成します。$J 内に、Folder1 を作成した記録はありません。

E:\>cd folder1
E:\folder1>mkdir folder2
E:\folder1>copy c:\case\sample.jpg folder2
E:\folder1>rmdir /S /Q folder2

USN Analytics の結果を確認します。Sample.jpg の Path は Folder2 から表示されています。Folder2 の Delete が無い?

f:id:hideakii:20180210135824p:plain

-r オプション指定し、再度プログラムを実行します。Folder2 の削除を確認できました。

f:id:hideakii:20180210140532p:plain

 素晴らしい!! 

 

参考URL;

USN Analytics | Forensicist

http://www.jpcert.or.jp/present/2018/JSAC2018_03_yamazaki.pdf

 

f:id:hideakii:20180210103911j:plain