Forensicist

Iharaさんのサイトで取り上げられていたタイムライン(http://d.hatena.ne.jp/hideakii/20091006)の話に
関連して、フォレンジック解析系のツールが秒未満の情報を適切に取り扱っているか確認するために、NTFSの
ファイルタイムスタンプを使って検証しました。

# 実は以前気になって調べたのですが、きっかけがあるまで暖めていたネタだったりします。

検証過程とあわせて結果を以下に記載します。

1. テストデータ作成手順

128MのUSBメモリをNTFSでフォーマットし、Cygwin経由で以下のようなコマンドを実行して同一秒の
ファイルを複数作成しました。



同一秒の場合、MFT番号を基準にしてソートし結果が一見正しく見えることも予想されたため、ファイル名と
MFT番号、ファイルサイズが順不同になるようにファイルの削除処理なども行っています。

2. テストデータ内容

以下が作成したファイルに対してstatコマンドでそれぞれの情報を出力した結果です。
(cygwinのstatコマンドではMFT番号が正しく出力されないためhelix上で確認)



各ファイルをそれぞれの項目で昇順ソートすると以下のような順になります。

• 時間(MACE全て) : 0.txt -> 3.txt -> 4.txt -> 1.txt
• MFT番号 : 0.txt -> 4.txt -> 3.txt -> 1.txt
• サイズ : 0.txt -> 3.txt -> 1.txt -> 4.txt

つまり、ツール上でMACE Timeいずれかの昇順ソートをした時に0.txt -> 3.txt -> 4.txt -> 1.txtの順で
表示されれば秒未満も考慮していると判断できます。

3. ツール上の表示

EnCase, FTK Imager, ProDiscover, Autopsy(sleuthkit)に加えて、OSデフォルトのファイルマネージャ
であるWindowsのExplorer, MacのFinderで確認しました。
(X-Waysも試したかったのですが手元で使える環境がなく断念)

確認結果を以下に示します。

[EnCase 6.14.3]


4.txt -> 0.txt -> 3.txt -> 1.txtとなり、正しく処理していません。他の項目でソートしてからMACE Timeで
ソートし直すと別の並びにもなり、どのような挙動をしているか不明です。

[FTK Imager 2.6.1.62]


項目欄に△マークがないのでわかりにくいですが、Date Modifiedでソートしています。
0.txt -> 3.txt -> 4.txt -> 1.txtとなり、正しく処理しています。FTK ImagerはMTimeでしかソート
できないようなのでFTK 2.xや3.xでも確認してみたいところです。

[ProDiscover Basic 6.0.0.42]


0.txt -> 1.txt -> 3.txt -> 4.txtとなり、正しく処理していません。同一秒だった場合はファイル名で
ソートしていると思われます。

[Autopsy 2.08 , Sleuthkit 2.52]


0.txt -> 4.txt -> 3.txt -> 1.txtとなり、正しく処理していません。同一秒だった場合はMFT(iノード)
番号でソートしていると思われます。少し古いバージョンで試していますが、現在最新版の3.0.1のソースを
見ても秒未満は切っていたので挙動は変わらなさそうです。

[Windows XP SP 3 Explorer]


0.txt -> 1.txt -> 3.txt -> 4.txtとなり、正しく処理していません。別の環境では並びが変わったり
していたため、詳細な挙動は不明です。

[Mac OS X 10.5.8 Finder]



0.txt -> 3.txt -> 4.txt -> 1.txtとなり、正しく処理しています。ただ、NTFS-3Gなどを入れていると
並びはおかしくなっていました。詳細な挙動は不明です。

4. 結果まとめ

現状の結果は以下のとおりです。

• EnCase --- NG
• FTK (Imager) --- OK
• ProDiscover (Basic) --- NG
• Autospy (Sleuthkit) --- NG
• Windows Explorer --- NG
• Mac Finder --- OK