Forensicist

fteを実行すると、対象ファイルのパス情報(path)とタイムスタンプ(atime, mtime, ctime, crtime)の他にタイプ(type)
という項目を出力します。記録されている4つのタイムスタンプ値から、ファイルがどこで、どのようにして生成されたか、
最も妥当と判断した情報をtypeとして出力しています。

fteが扱う分類について以下に記載します。

1. FAT

FAT上で保持するタイムスタンプの精度に一致する場合です。

• atime - 日単位
• mtime - 2秒単位
• ctime - なし (fte上は1601/01/01 00:00:00+タイムゾーンの表示)
• crtime - 10ミリ秒単位
2. exFAT

exFAT上で保持するタイムスタンプの精度に一致する場合です。

• atime - 2秒単位
• mtime, crtime - 10ミリ秒単位
• ctime - なし (fte上は1601/01/01 00:00:00+タイムゾーンの表示)
3. Unix(POSIX)

ctimeを除く3つのタイムスタンプ全てがUnix(POSIX)形式、すなわち秒未満の情報を持たない場合です。

• atime, mtime, ctime, crtime - 秒単位

Unix系ファイルシステム(Ext2/3やHFS+など)上のファイルをネットワーク経由で参照するとこのタイプになります。

4. DOS

ctimeはNTFS上の精度(100ナノ秒単位)でそれ以外の3つのタイムスタンプがDOS形式(2秒単位)の場合です。

• atime, mtime, crtime - 2秒単位
• ctime - 100ナノ秒単位

アプリケーションによってはこの型を採用しているかもしれないため用意しました。実際にこのようなタイプで保存され
ている例はまだ見たことがありません。

5. FAT/ZIP/LZH->NTFS

mtimeがDOS形式(2秒単位)でそれ以外の3つのタイムスタンプはNTFS上の精度(100ナノ秒単位)の場合です。

• atime, ctime, crtime - 100ナノ秒単位
• mtime - 2秒単位

普通にコピーするとmtimeは更新されませんので、FAT上にあるファイルをNTFS上にコピーした場合はこのタイプに
なります。

また、ZIPやLZHの仕様ではヘッダ情報として対象ファイルのmtimeをDOS形式で格納するように定められています。
圧縮時に対象ファイルのmtimeをDOS形式で取っておき、展開時にその形式(DOS)でmtimeをセットします。よって、
ZIPやLZHから展開されたファイルも大抵このタイプになります。

ただしZIPやLZHのヘッダは拡張版としてUnix(POSIX)やFILETIMEで保存できるようにもなっているため、最終的
には圧縮/展開に使用したツールの実装にも依存します。いくつかのツールの検証結果は
(http://www.ji2.co.jp/forensics/seminer/20091204/20091204_03.pdf)のスライド34に記載しています。

6. exFAT->NTFS

mtimeが10ミリ秒単位で、それ以外の3つのタイムスタンプはNTFS上の精度(100ナノ秒単位)の場合です。

• atime, ctime, crtime - 100ナノ秒単位
• mtime - 10ミリ秒単位

exFAT上にあるファイルをNTFS上にコピーした場合はこのタイプになります。

7. SYSTEMTIME

ctimeを除く3つのタイムスタンプがSYSTEMTIME形式(ミリ秒単位)の場合です。

• atime, mtime, crtime - ミリ秒単位
• ctime - 100ナノ秒単位

ツールによってはSYSTEMTIME形式で時間情報を扱います。調べた限りではChange File Time StampやFileTouchが
SYSTEMTIME形式で扱っていましたので、例えばこれらのタイムスタンプ変更ツールを使って変更されたファイルは
このタイプになります。

8. FILETIME

上記のいずれのタイプにも当てはまらない場合です。

• atime, mtime, ctime, crtime - 100ナノ秒単位

他に役に立ちそうなタイプが見つかったら随時組込んでいきたいと思います。