@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

LNK と Time stamp (FAT date and time)

LNKファイル内のShell Itemに含まれる、タイムスタンプ形式を確認します。

LEcmdを利用し、LNKファイルに含まれるタイムスタンプを確認します。フォルダCaseと、P1060117.jpgのタイムスタンプ情報を確認できます。

f:id:hideakii:20180407180510p:plain

LNKとShell item」を参考に、Caseフォルダに関するタイムスタンプを確認します。

874C7732 Last modification date and time
644B2CB4 Creation date and time
874C7732 Last access date and time

f:id:hideakii:20180407181619p:plain

タイムスタンプ情報は「Contains a FAT date and time in UTC」形式となっています。TimeLoadを利用し変換します。

874C7732 ⇒ 2018-04-07 06:19:46 Last modification date and time(UTC)

f:id:hideakii:20180407182323p:plain

644B2CB4 ⇒ 2017-11-04 22:33:24 Creation date and time (UTC)
874C7732 ⇒ 2018-04-07 06:19:46 Last access date and time (UTC)

 

NTFSボリューム上にある、Caseフォルダのタイムスタンプを確認します。

f:id:hideakii:20180407182959p:plain

NTFS上ではCaseフォルダのData Modified が 06:19:45 となっていますが、LNK内Shell Itemのタイムスタンプは 06:19:46 となっています。

これは、下記URLで説明されている、タイムスタンプ分解能の違いによる影響ですかね。

https://support.microsoft.com/help/402160

 

PlasoでこのLNKファイルのタイムラインを作成すると、下記の出力結果を得られます。MFTのタイムラインと一緒に確認する場合、タイムスタンプ分解能により、差異が出ますね。f:id:hideakii:20180407210338p:plain

 

<補足>

Property Storeではタイムスタンプの保存形式が異なります。

例として、P1060117.jpg.LNK のProperty Storeを確認してみます。

b725f130-47ef-101a-a5f1-02608c9eebac\14 Date Modified の値は、04/07/2018 06:19:45 になっています。

f:id:hideakii:20180407184238p:plain

HEXデータを確認してみます。下記では、8バイト長のタイムスタンプ(FILETIME)が記録されています。

f:id:hideakii:20180407185557p:plain

 タイムスタンプを変換します。2018-04-07 06:19:45.6168864

f:id:hideakii:20180407185813p:plain

 

 参考URL:

computerforensics.parsonage.co.uk

http://www.kazamiya.net/en/fte/type

 

windowsir.blogspot.jp

f:id:hideakii:20180407190851j:plain