B-) の独り言

■ナノ秒タイムスタンプの確認

FILETIME Extractor (fte) の ver1.2 をリリースしたぜ！と斜め後ろの席な人に教えていただいたので早速確認。

http://www.kazamiya.net/fte

とりあえず、EnCase上からはNTFS上のファイルが持つタイムスタンプをナノ秒で確認できないので、fteツールとの連携をテストすべく、まずEnCase PDF(物理ディスクエミュレータ)との組み合わせからテスト。Windows XPの証拠ファイルをEnCaseとPDEを使って調査用PCに仮想的な物理ディスクとしてマウント。マウントした仮想ディスク内のファイルに対してfteを実行してナノ秒での時刻が表示できることを確認（これは辺り前か）

C:\fte_1.21>fte.exe "E:\日本語能力.txt"

  path: E:\日本語能力.txt
 atime: 2008/04/09 10:58:45.859375000 (LOCAL)
 mtime: 2008/04/09 10:58:45.859375000 (LOCAL)
 ctime: 2008/04/09 10:59:17.750000000 (LOCAL)
crtime: 2008/04/09 10:58:45.843750000 (LOCAL)
  type: FILETIME

さて、EnCaseは証拠ファイルからファイルを抽出（Copy/Unerase）する際には、タイムスタンプを戻すようになっているのですが、取りだしたファイルのナノ秒が維持されているかを確認すべく、証拠ファイル内から該当ファイルをローカルにCopy/Unerase機能を使ってエクスポートしてから、fteを実行してみたのが下記。

C:\fte_1.21>fte.exe "c:\case\export\日本語能力.txt"

  path: c:\case\export\日本語能力.txt
 atime: 2008/04/09 10:58:45.000000000 (LOCAL)
 mtime: 2008/04/09 10:58:45.000000000 (LOCAL)
 ctime: 2010/01/05 09:40:50.012125000 (LOCAL)
crtime: 2008/04/09 10:58:45.000000000 (LOCAL)
  type: Unix(POSIX)

結果からするとナノ秒の値は無いですね。証拠ファイル内ファイルのナノ秒を確認したい場合には、PDEを使うなどした方がよさそうです。

次に、VFS（ばーちゃるふぁいるしすてむ）モジュールを使い、証拠ファイルを仮想的にネットワーク共有としてYドライブにマウントして同じファイルについてタイムスタンプを確認してみたのが下記。

C:\fte_1.21>fte.exe y:\日本語能力.txtxt"

  path: y:\日本語能力.txt
 atime: 2008/04/09 10:58:45.000000000 (LOCAL)
 mtime: 2008/04/09 10:58:45.000000000 (LOCAL)
 ctime: 2008/04/09 10:59:17.000000000 (LOCAL)
crtime: 2008/04/09 10:58:45.000000000 (LOCAL)
  type: Unix(POSIX)

うーん、ネットワーク共有だとナノ秒は確認できないみたいですね。VFSでマウントすると削除ファイルへのアクセスがエクスプローラなどからも可能になるので、削除ファイルのナノ秒を確認するのが簡単にできると思ったんですが、すんなりとはいかないみたいですね。

削除状態にあるファイルのナノ秒を確認するにはtsconv(http://www.kazamiya.net/tsconv)を使うという手もありますが、もう少し簡単便利な方法ないですかねぇ。

Permalink | コメント(0) | トラックバック(0) | 10:24