mactime では-y オプションを指定することで、指定日付以降のタイムラインを出力する機能があるみたいですが、これは微妙なケースもありえますね。例えば仕込まれた悪意のあるツール（rootkitとか）が持つ Mtime が古い値だったりすると、指定した期間内のタ…

5.5 で mactime ツールを使ってタイムラインが構成されていますが、そのまま実行すると実行環境のタイムゾーンに合わせて日付情報を出力してくれるということですかね。mac-robber はそのまま UNIX タイムスタンプ値（EPOC time）を取ってくると思われるので…

資料では特に言及がないようですが、ジャーナルを利用するファイルシステムでは、-ro などのオプションでもジャーナルカウントか何かが一部更新されるというお話があった気がします。データそのものへの影響はないみたいですので、タイムスタンプの収集には…

なぜ mac-robber をタイムスタンプの収集ツールとして選択されたのか特に解説がなかったので謎ですが、mac-robber のWebでの記載では、TSK が対応していない様なファイルシステムなどにおいてもタイムスタンプを収集することができ、mactime ツールに投入で…

MACtime 証跡というか、タイムラインを構成するために、タイムスタンプの収集から並び替えまでの方法などを解説した資料がJPCERT/CCから公開されています。 技術メモ − MACtimeからわかるファイル操作 〜MACtime証跡リストの作成とその読み解き〜 http://www…

SANSちがった robtlee 氏の Twitter で見かけて後から読もうと思ってすかっり忘れていたのでメモ。 デジタルフォレンジックマガジンということで、有料っぽいですが ISSUE 1 は無料で閲覧できるようです。 Digital Forensics Magazine ISSUE 1 http://www.di…

長野駅集合らしいので、とりあえず新幹線を予約しようと考え中なんですが、11時に到着してもさすがにまだお店開いてないような気もするので、9時48分東京発 11:16 着の、あさま513号あたりにしておけば OK ですかねぇ。 まぁまだ昼間のネタが全然できていな…

この人の絵はバイナリ眺めているのと似たような感覚になるので不思議です、まぁ絵そのものが面白いのでバイナリと違って飽きませんけど。 山口晃作品集

NTFS スパースファイルですが、詳細に説明している資料でよさそうなのがすには見当たりませんね。File System Forensic Analysis 本では P284 Sparse Attributes で解説されています。もはや一般書店では入手困難な*1 Inside Windows NTファイルシステム本で…