Autopsy 4.4.1 タイムライン機能(2)
コンテナファイルの扱い
ZIP や RAR ファイルのコンテナ内に存在するファイルのタイムスタンプ情報のタイムラインでの取り扱いについて。
『埋め込みファイルの抽出ツール』モジュールを実行している場合、ZIP や RAR ファイルなどについては、下記図のようにコンテナ内のファイルについても表示が行われるようになる。
ZIPファイル内のデータは、データソースのツリーから ZIP ファイルのコンテナを参照する事で確認できる。例えば ZIP ファイル内の画像を参照すれば、下記のようにコンテンツを確認できる。
タイムスタンプ情報としては、ファイルメタ情報のタブから下記を確認できる。下記はZIPファイル内のJPEG画像ファイルのメタ情報を確認した結果。
| 名前 | /img_zip001.E01/vol_vol2/moon2.zip/moon2.jpg |
| タイプ | Local |
| MIME Type | image/jpeg |
| サイズ | 15841 |
| ファイル名アロケーション | 割り当て済み |
| メタデータアロケーション | 割り当て済み |
| 修正済み | 2017-07-23 09:07:43 JST |
| アクセス済み | 2017-07-23 09:07:43 JST |
| 作成済み | 2017-07-23 09:07:38 JST |
| 変更済み |
0000-00-00 00:00:00 |
別の RAR ファイル内のメタ情報を確認した場合は、下記のようになる。
| 前 | /img_zip001.E01/vol_vol2/moon.rar/moon.jpg |
| タイプ | Local |
| MIME Type | image/jpeg |
| サイズ | 27221 |
| ファイル名アロケーション | 割り当て済み |
| メタデータアロケーション | 割り当て済み |
| 修正済み | 2017-07-23 00:06:48 GMT |
| アクセス済み | 0000-00-00 00:00:00 |
| 作成済み | 0000-00-00 00:00:00 |
| 変更済み | 0000-00-00 00:00:00 |
ZIPファイルとRARファイルでは、タイムスタンプ情報の保持状況が異なっている事を確認できる。
コンテナファイルのタイムライン
上記、ZIP、RAR ファイルが含まれるイメージファイルのタイムラインを、リスト形式で表示した状況が下記となる。
コンテナファイルのタイムスタンプだけでなく、ZIP・RARファイル内のコンテンツについてタイムスタンプ情報が確認できる。
ZIP と RAR ファイルでは、保持しているタイムスタンプが異なる為、RAR ファイル内の .bmp と .jpg ファイルについては、最終更新日時を示す M だけがタイムスタンプとして確認できる。
圧縮ファイルの形式には、ZIP や RAR 以外にも、7zip や lzh なども存在しますが、それらのコンテナファイルでは、どの様なタイムスタンプ情報を保持しているでしょうか?
RARとNTFS代替データストリーム
RAR 形式はオプション設定により、NTFS の代替データストリームを圧縮ファイル内に含める事が可能です。(圧縮したファイルのタイムスタンプ情報も、更新日時だけでなく、作成日時やアクセス日時を保存する事が可能です)
下記はNTFS 代替データストリームを含めた RAR ファイルを参照していますが、NTFS 代替データストリームの存在は確認できません。この RAR ファイルでは、タイムスタンプ情報として、作成日時・アクセス日時も含まれている事を確認できます。
WORDファイル内の埋め込みオブジェクト
WORDファイル(DOCX)内に埋め込まれているオブジェクトのタイムスタンプ情報は、下記図のように 0000-00-00 00:00:00 となる。
タイムライン上では、DOCXファイルのタイムスタンプは確認できるが、埋め込みオブジェクトに関する項目は表示されていない。
