ファイル システム トンネリング機能は、ファイル名の変更時にも有効ですが、これって確か Office 製品でテンポラリファイルで編集した内容を反映する場合に使ってるんでしたっけ？ echo office > a.txt copy a.txt a.tmp del a.txt ren a.tmp a.txt 例えば…

昨日の実験を行っている最中に、間違えて以下のコマンドを実行してしまいました。 echo sample > a.txt echo 123456 > a.txt echo で a.txt の内容を 123456 へ更新しようと思ったのですが、上記では2回目の echo 文により a.txt が新規に作成されることにな…

一定時間内に削除されたファイルと同じ名前のファイルが作成された場合、作成日時などを引き継ぐ機能で、FAT・NTFS のファイルシステムで実装されています。 [NT]Windows NT のファイル システム トンネリング機能 http://support.microsoft.com/kb/172190/ja…

分解能の影響を避けるために、atime.txt を作成してから 1時間以上経過してから、以下のコマンドを実行。 type atime.txt コマンド実行（ファイルの読み取り）以後に、Entry Modified を確認しましたが変化なし。 最終アクセス日時の変化時 Last Accessed ○ …

ファイルのアクセス権を変更した場合に、Entry Modified が変化するか確認してみます。まずサンプルのファイルを作成し、タイムスタンプが全て 14:00:34 であることを確認。 echo acl > acl.txt 次に cacls コマンドを使い、acl.txt のアクセス権を変更しま…

ファイルを削除した場合に、Entry Modified が変化するか確認してみたいと思います。 h.txt の Entry Modified が 11:00:28 であることを確認し、以下のコマンドを実行。 del h.txt ファイル削除後の Entry Modified も 11:00:28 であることを確認。 ファイ…

ファイルを移動した場合に、Entry Modified が変化するか確認してみたいと思います。 移動前の h.txt の Entry Modified は 10:56:28 であることを確認し、以下のコマンドを実行 move c:\h.txt c:\temp 移動後の h.txt の Entry Modified は 11:00:28 となり…

ファイル名を変更した場合に、Entry Modified が変化するか確認してみたいと思います。 新規に a.txt を作成し、タイムスタンプが全て同じになっていることを確認し、*1 新規に g.txt を作成し、タイムスタンプが全て同じ 10:42:13 であることを確認し、以下…

NTFSの暗号化ファイルシステム（EFS）で暗号化を実施した場合に、Entry Modified が変化するか確認してみたいと思います。 c.txt の Last Written は 09：50：04、Entry Modified は 10:28:14 の状態で以下のコマンドを実行します。 $STANDARD_INFORMATION (…

“読み取り専用”や“隠しファイル”などの、フラグが変化した場合に、Entry Modified が変化するか確認してみたいと思います。c.txt の Last Written と Entry Modified が 09：50：04 の状態で以下のコマンドを実行します。 attrib +R c.txt 「読み取り専用」…

NTFSでハードリンクを作成した場合に、Entry Modified に変化が発生するか確認してみたいと思います。c.txt の Last Written は 09：33：51 の状態で以下のコマンドを実行します。 fsutil hardlink create d.txt c.txt ハードリンク作成後の、c.txt の Last …

そもそもファイルの更新時（ファイルサイズに変化なし）で、Entry Modified が変化するのかテスト。ファイルサイズを変更しないように、同じサイズの文字列で更新してみる。 とりあえず、ファイルを作成。 echo size > c.txt notepad. c.txt この状態でタイ…

まずはテスト用のファイルを作成 echo test > a.txt File Indentifierは 19341番、Entry Modified を含むタイムスタンプはいずれも 09:08:26 つぎに、NTFS 代替データストリームを追加した場合。 echo sample > a.txt:b.txt MFTレコードにストリームが追加さ…

Windows XP Sp2 の環境で、CMD.EXE を使った操作の後に、EF6.5 でプレビューして確認。 OSをシャットダウンせずにその時点でのディスク（MFT）内の情報で確認しているので、ひょっとするとメモリ上に保持している時刻があるかもしれませんが、とりあえずテス…

昨日今日と「車乗り換えたんですか？」とか「結婚したの？」とか「顔色よくなりました？」とか「肝臓は？」など聞かれたんですけど、しばらく世間と離れているといったい自分がどういう状況になっている事になているんだろうとか思いましたですよ。 相変わら…

オライリーのブースでは、編集の M 氏が Sonodam さんを探していて、Y 氏は DANNA さんを探していてと、皆さん広い会場でいろいろと人探し状態になっていたようで（笑） 仕事の関係で、ご紹介を〜とか思って伺ったブースでも、丁度入れ違いだったりとしてま…

DANNA さんに「新しい本出たから」というお話を聞いて、オライリーブースに伺ったのですが、W 氏からは「もう売り切れましたよ！」というお言葉...orz なんか、今日購入した人にはもれなくみっきースタンプがついていたとの噂も（笑）ネットワークセキュリテ…

展示会に行ったのがかなり久し振りだったので、少しブースとか見て回ろうと思ったのですが、いろいろ歩いていて思ったのは、何を見たらいいのかさっぱりトレンドが不明（笑） 業界方面では、データ復旧センターさんが「X-ways forensics」日本語化したもの）…

Lhaplus で Docx ファイルの拡張子を ZIP に変更して展開してみましたが、エラーがでちゃうんですね。展開そのものはできているようですけど.... でもって XML ファイルとか見てたんですが、Docx では文字コードが UTF-8 なんですね。 「あ」が \xE3\x81\x82…

Docx 形式ファイルをほかの形式へと変換するツールもいくつかあるようですが、わざわざ変換してから検索するのは手間なのと、メタ情報などがどうなるか微妙ですかね。 DOCX Convert Office 2007 http://www.docx-converter.com/ Widgetは試してないんですけ…

Word 2007のデフォルトでは Docx(Open XML）形式でデータを保存しますが、ファイル内容が圧縮されている*1ので、バイナリパターンで文字列検索を実施しても検索対象の文字列は圧縮されちゃってるのでひっかかりませんねとりあえず関連URLをメモ。 Microsoft …

WORD 2003で「あいう」を入力し、PDF で出力後、Acrobat 7.0.9 でファイルを開いて RTF 形式で保存した場合のパターンは「{\uc2\u12354 \'82\'A0}{\uc2\u12356 \'82\'A2}{\uc2\u12358 \'82\'A4}」 これを EnCase の GREP 検索で検索する場合は「\\u12354.*\\…

WORD 2003 で「アイウ」を入力し RTF で保存した場合のパターンは「\'83\'41\'83\'43\'83\'45」 WORD 2003 に文字コード表から「アイウ」をフォント MS P ゴシックでコピーして張り付けて RTF で保存した場合のパターンは「\'83\'41\'83\'43\'83\'45」 WORD …

読み取る際は、\'83\'41 でも \'83A でも OK みたいですが、WordPad で保存すると \'83A は \'83\'41 へ変換して保存、WORD では \'83A のまま保存されるようですね。PowerPoint では \'83\'41 を保存すると、\'83A へ変換して保存。

さっそく前言撤回しないといけないみたいで、PowerPoint 2003で「ア」をアウトライン/リッチ テキスト形式（*.rtf）で保存し確認したところ、「\'83A」で保存されました。

RTF形式で、全角「ア」を RTF 形式で保存した場合に、エスケープ処理がどのようにされているかを調べてみました。 手順的には、対象アプリケーションを起動し、「ア」を入力して RTF 形式で保存し、メモ帳で中を開いて確認していますが、「\'83A」でエスケー…

今年の開催日程は、8月21日(火)〜8月24日(金)みたいですが、昨年はいけなかったので、そろそろ最新の情報（ネタ？）収集にいけるといいなぁと考えていますが、はたしてどうなることやら。。。

/. で話題になっていた、会社が個人宅PCの調査を行うというお話ですが、興味深く読んでますが、過去に一度失敗した経験を持つあっしとしては、個人宅のPCについては同意前提でしか実施は考え付かないです。 とはいえ、実際には同意を得るという手続きを入れ…

再審査の書類を書いていたんですけど、ここの日記のカウンタ数とか調べるのに、そもそもここ最近書いてなかったもんだからURLをすぐに思い出せなかった罠。社内の SNS にはくだらないこと色々と書いてたりすんですけど... しかし、1年間を振り返ってみると、…

Forensic Acquisition Utilities の商用版となる KnTTools と KnTList がリリースされたそうです！！ GMG Systems, Inc. KnTTools with KnTList http://users.erols.com/gmgarner/KnTTools/ KnTTools に含まれる KnTDD では、Windows のメモリの取得(acquisi…