タイムスタンプを変更した場合の、USN ジャーナルの動作について確認してみます。検証環境は Windows 10 1709 です。
E:ドライブに crocodile.jpg ファイルをコピーし、USN Journal を確認します。
fsutil usn readjournal e: csv > output.csv
Autopsy で $SI と $FN 値を確認します。
次に、BulkFileChanger を利用し、タイムスタンプを変更します。今回は、2017年を1973年へ変更しています。
Autopsy で $SI と $FN を確認します。$SI のタイムスタンプが 1973年になっている事を確認できます。秒以下のタイムスタンプ精度については、完全には維持されていません。
USN Journal を確認します。Basic info change を USN 612 で確認できます。
fsutil usn readjournal e: csv > output2.csv
SetMACE
SetMace ツールを利用してタイムスタンプを変更します。変更するタイムスタンプは $SI だけとしています。
SetMace64.exe e:\crocodile.jpg -z "2000:01:01:00:00:00:789:1234" -si
Autopsy で $SI と $FN を確認します。Last User Journal Update Sequence Numberは 704 のままです。
USN Journal を確認します。
HIDDEN COBRA
US-CERT から出ているアラート「HIDDEN COBRA – North Korean Trojan: Volgmer」には関連するマルウェアとして下記レポートが含まれていますます。
https://www.us-cert.gov/sites/default/files/publications/MAR-10135536-D_WHITE_S508C.PDF より引用
When the files are decompressed, Ins.dll is installed into "%system32%\appnettimgr.dll" as a service named "appnettimgr." appnettimgr is designed to modify its file created timestamp to match that of notepad.exe."
マルウェア実行後のUSN Journal は次のようになります。
参考URL:
FileDate Changer v1.1 - Change the created/modified time of files
BulkFileChanger: Change date/time/attributes of multiple files
