関連する話題として、タイムスタンプ以外に、最後にオープンしたのは誰か？という情報についても確認が取れる場合があるようです。 MS Excel and BIFF Metadata: Last Opened By http://dfstream.blogspot.jp/2013/07/ms-excel-and-biff-metadata-last-opene…

ExcelではOpen Timeが更新されましたが、追加でPPTとDOC形式ファイルについても上記と同じテストを実施してみましたが現象は再現されませんでした。 どうやらExcel（XLS)形式の場合のみ発生する処理のようで、最新のXLSX形式でも試してみましたが、やはりこ…

Facebookで参考になるURLを教えていただきましたが、動作としては以下のようになっているようです。 まずサンプルのExcelファイル（拡張子XLS）を用意 サンプルXLSファイルのMD5ハッシュ値を確認（e9bae5bf53d8cc0b8f55b1cda53b616c） サンプルXLSファイルの…

Excelファイルのプロパティ（メタ情報）としては、作成者、前回保存者、改訂番号、プログラム名や、コンテンツの作成日時、前回保存日時などが存在しています。 この記事を読むまで知らなかったのですが、それ以外に「最後に開いた日時（Last Opened Time）…

□Log2timeline - Forensics Wiki http://www.forensicswiki.org/wiki/Log2timeline□log2timeline http://log2timeline.net/□Plaso - home of the super timeline http://plaso.kiddaland.net/ https://code.google.com/p/plaso/ http://www.forensicswiki.or…

フォレンジック調査で使うタイムラインのマインドマップもたたき台を作ってみましたが、Log2Timeline が標準でパースしないデータのタイムラインをいかに（簡単に）マージしていくのか？というのが一つのポイントでしょうか。 そして、巨大化するタイムライ…

□The SQLite Database File Format http://www.sqlite.org/fileformat2.html□The Forensic Implications of SQLite’s Write Ahead Log http://digitalinvestigation.wordpress.com/2012/05/04/the-forensic-implications-of-sqlites-write-ahead-log/□Carvin…

Webブラウザの履歴管理や、スマートフォンなどで利用されているSQLite3ですが、フォレンジック調査関連だと相変わらずあまり情報は多くないです。 ただ、ポイントとなる点は変化しているわけでもないのと、DBをパースできるツールはフォレンジックツールに限…

□Web Forensics http://sci.tamucc.edu/~cams/projects/345.pdf□BROWSER FORENSICS http://www.browserforensics.com/□Category Archives: Browser Forensics http://davidkoepi.wordpress.com/category/browser-forensics/□Web Browser Forensics https://c…

Webブラウザ関連のフォレンジックについて言及している記事を参照してみると、だいたい出てくるポイントとしては以下の項目が見受けられます。ブラウザの種類によってデータの持ち方などが変わりますので、それぞれのアプリケーションによって技術的には色々…

大きく分けると、黄緑色にしているファイル名痕跡を探す部分と、ベージュ色のデータ内容を元にしたデータ痕跡の検索という事になりますかね。 データ内容を調べる場合には、元データが無いと対応できないので、元データはなくてファイル名しか分からないとい…

イベントログに限定せずにファイルアクセスのログとか取ってある場合には、それらのログを確認してファイル名が残ってないかを調べる。ログ内にデータの一部が含まれている事は想像しにくいので、ファイル名を検索するくらい？

VSSと似たようなお話ですが、バックアップがある場合にはそれらの中身についても確認を行う。バックアップ形式になっている場合にはExtract処理が必要になるので、お時間かかりそう。

定番処理

Windows Vista/7 では VSS スナップショット内のデータについても、同様の確認作業を行う。VSSスナップショットが複数存在すると、それ毎に対応が必要になるので時間がかかりそう。Windows 8からは仕組みが違う。

ブラウザ履歴内でファイル名の痕跡がないかの確認。 ブラウザが維持している情報によっては、別の何かが得られる可能性もある？いやまったく具体的なデータは思いつかないですけど。

主には添付ファイルとして存在しているかどうか、添付ファイルがパスワード保護されていて中身分からないとかのケース。 PSTとかDBXとかだったりする場合には、未使用領域内での文字列検索をやってみるのも案としてはありますかね。

パスワード保護されているか、暗号化されているとか、ステガノツールが使われていることで、データ内容が当たってこないケースですかね。 保護ファイルはPasswareでスキャンとかすれば簡単に検出できると思いますが、暗号化ツールの自己展開形式とかは自動検…

RegRipperを使ってどう調べるかとか具体的な事が書かれています。 後からRegRipper部分のマップを作成するのの参考にしよっと。

ファイル名が変更されている場合とかに、データの中身でファイルを確認していくパターン。変更されていなければハッシュ値で検出できるけど、変更されていると駄目なのでエントロピー値を使うとかファジーハッシュで探すとか。文書ファイルならデータ内容で…

ZIPとかLZHをここに入れてもいいのかもしれませんが、展開して中身を取り出さないといけないファイルタイプですかね。埋め込みオブジェクトとして存在しているような状況も考えられますが、バイナリ検索でいけるかな？、エンコードされているとマッチしない…

元は電子データなんだけど、JPEG画像に変換されているとか、紙で印刷したのをスキャンしてあるとか、デジカメで撮ったりしてあるとか。データとしては有るんだけど、変換されちゃっているので、データの中身で検索しないと見つからない。 一般的でないファイ…

Unallocated Clusterの扱いと基本的には同じ。ただ、ここでも4の文字コードというかエスケープというかの処理については考えた方がよいかもしれませんね。

文字コードが変更というか、ファイル名を保持しているんだけど、その保存方法が普通にUTF-8で保存とかでなく、何らかの処理が行われているケース。uxxxxみたいなのやBase64になっているとか。これもアプリケーションがどうやってデータを保存しているか次第…

いずれもアプリケーションのデータファイルやログファイル内に文字列痕跡として探しているファイル名やデータの一部が入って無いかをチェックする想定。 クラウド関連と書いてあるのは、クラウドストレージ関連のアプリケーションがローカルにインストールさ…

まずはファイル名の痕跡を探す。ファイルシステムによってファイル名の文字コードが異なるので、その点を考慮してパターン検索を行う。 ファイル名はないけど、ファイルが存在していた痕跡を探したい場合には、該当ファイル内のデータをバイナリパターンで検…

基本的にはレジストリ内に保存されているMRUキーなどに保存されているファイル名やパスをまずは確認。ツールとしては定番のRegRipperを使う前提ですかね。 RegRipperはプラグインによりかなり色々な情報を収集できるので、この項目だけでマップを作成してお…

お題としては、該当デバイス上で特定のファイルにアクセスしたか？、または存在していたか（存在しているか）？、を調べなければいけないケースを想定。 ※以下、最初のたたき台として作成したマインドマップ（整理できてないです）

□Windows 8 Forensics Part 1, Part 2, Part 3 http://www.youtube.com/watch?v=p8UHmoXtwsk http://computerforensics.champlain.edu/blog/windows-8-forensics http://computerforensics.champlain.edu/blog/windows-8-forensics-part-2 http://computerfo…