JumpListのファイル構造続き。SAT(Sector Allocation Table)を確認します。 「Object Linking and Embedding (OLE) Compound File (CF) format specification」を参照しています。 Master Sector Allocation Table (MSAT)はオフセット76から開始されており、…

これも古い話題ですが :-)、JumpListのファイル形式について確認します。JumpListファイルの詳細については、参考URLの記事を参照してください。 下記図は、Windows 10環境でAutomaticDestinationsフォルダ配下にあるf01b4d95cf55d32a.automaticDestinations…

Registry Miner を利用し、レジストリファイルからタイムスタンプを採掘します。 サンプルのSYSTEMハイブに対して、Registry Miner を実行します。”starting timestamp”で指定した日時以降の、タイムスタンプを含むキーや値が採掘されます。 # ./registry-mi…

LNKファイル内のShell Itemに含まれる、タイムスタンプ形式を確認します。 LEcmdを利用し、LNKファイルに含まれるタイムスタンプを確認します。フォルダCaseと、P1060117.jpgのタイムスタンプ情報を確認できます。 「LNKとShell item」を参考に、Caseフォル…

LNKファイルのProperty Store構造を確認します。 サンプルJPEGファイルを準備します。このJPEGファイルはEXIF情報を含んでいます。 サンプルJPEGファイルのショートカットを作成します。 作成したショートカットファイルを LEcmd でパースし、Property store…