LNKファイル内のShell Itemに含まれる、タイムスタンプ形式を確認します。
LEcmdを利用し、LNKファイルに含まれるタイムスタンプを確認します。フォルダCaseと、P1060117.jpgのタイムスタンプ情報を確認できます。
「LNKとShell item」を参考に、Caseフォルダに関するタイムスタンプを確認します。
874C7732 Last modification date and time
644B2CB4 Creation date and time
874C7732 Last access date and time
タイムスタンプ情報は「Contains a FAT date and time in UTC」形式となっています。TimeLoadを利用し変換します。
874C7732 ⇒ 2018-04-07 06:19:46 Last modification date and time(UTC)
644B2CB4 ⇒ 2017-11-04 22:33:24 Creation date and time (UTC)
874C7732 ⇒ 2018-04-07 06:19:46 Last access date and time (UTC)
NTFSボリューム上にある、Caseフォルダのタイムスタンプを確認します。
NTFS上ではCaseフォルダのData Modified が 06:19:45 となっていますが、LNK内Shell Itemのタイムスタンプは 06:19:46 となっています。
これは、下記URLで説明されている、タイムスタンプ分解能の違いによる影響ですかね。
https://support.microsoft.com/help/402160
PlasoでこのLNKファイルのタイムラインを作成すると、下記の出力結果を得られます。MFTのタイムラインと一緒に確認する場合、タイムスタンプ分解能により、差異が出ますね。
<補足>
Property Storeではタイムスタンプの保存形式が異なります。
例として、P1060117.jpg.LNK のProperty Storeを確認してみます。
b725f130-47ef-101a-a5f1-02608c9eebac\14 Date Modified の値は、04/07/2018 06:19:45 になっています。
HEXデータを確認してみます。下記では、8バイト長のタイムスタンプ(FILETIME)が記録されています。
タイムスタンプを変換します。2018-04-07 06:19:45.6168864
参考URL:
computerforensics.parsonage.co.uk
http://www.kazamiya.net/en/fte/type
https://t.co/28oBjUJb5C, https://t.co/7BiZAGMLt6 #DFIR
— H. Carvey (@keydet89) 2018年4月8日