Iharaさんのサイトで取り上げられていたタイムライン(http://d.hatena.ne.jp/hideakii/20091006)の話に関連して、フォレンジック解析系のツールが秒未満の情報を適切に取り扱っているか確認するために、NTFSのファイルタイムスタンプを使って検証しました。
# 実は以前気になって調べたのですが、きっかけがあるまで暖めていたネタだったりします。
検証過程とあわせて結果を以下に記載します。
- テストデータ作成手順
- テストデータ内容
128MのUSBメモリをNTFSでフォーマットし、Cygwin経由で以下のようなコマンドを実行して同一秒のファイルを複数作成しました。
同一秒の場合、MFT番号を基準にしてソートし結果が一見正しく見えることも予想されたため、ファイル名とMFT番号、ファイルサイズが順不同になるようにファイルの削除処理なども行っています。
以下が作成したファイルに対してstatコマンドでそれぞれの情報を出力した結果です。
(cygwinのstatコマンドではMFT番号が正しく出力されないためhelix上で確認)
各ファイルをそれぞれの項目で昇順ソートすると以下のような順になります。
- 時間(MACE全て) : 0.txt -> 3.txt -> 4.txt -> 1.txt
- MFT番号 : 0.txt -> 4.txt -> 3.txt -> 1.txt
- サイズ : 0.txt -> 3.txt -> 1.txt -> 4.txt
つまり、ツール上でMACE Timeいずれかの昇順ソートをした時に0.txt -> 3.txt -> 4.txt -> 1.txtの順で表示されれば秒未満も考慮していると判断できます。
EnCase, FTK Imager, ProDiscover, Autopsy(sleuthkit)に加えて、OSデフォルトのファイルマネージャであるWindowsのExplorer, MacのFinderで確認しました。(X-Waysも試したかったのですが手元で使える環境がなく断念)
確認結果を以下に示します。
[EnCase 6.14.3]
4.txt -> 0.txt -> 3.txt -> 1.txtとなり、正しく処理していません。他の項目でソートしてからMACE Timeでソートし直すと別の並びにもなり、どのような挙動をしているか不明です。
[FTK Imager 2.6.1.62]
項目欄に△マークがないのでわかりにくいですが、Date Modifiedでソートしています。0.txt -> 3.txt -> 4.txt -> 1.txtとなり、正しく処理しています。FTK ImagerはMTimeでしかソートできないようなのでFTK 2.xや3.xでも確認してみたいところです。
[ProDiscover Basic 6.0.0.42]
0.txt -> 1.txt -> 3.txt -> 4.txtとなり、正しく処理していません。同一秒だった場合はファイル名でソートしていると思われます。
[Autopsy 2.08 , Sleuthkit 2.52].png)
0.txt -> 4.txt -> 3.txt -> 1.txtとなり、正しく処理していません。同一秒だった場合はMFT(iノード)番号でソートしていると思われます。少し古いバージョンで試していますが、現在最新版の3.0.1のソースを見ても秒未満は切っていたので挙動は変わらなさそうです。
[Windows XP SP 3 Explorer]
0.txt -> 1.txt -> 3.txt -> 4.txtとなり、正しく処理していません。別の環境では並びが変わったりしていたため、詳細な挙動は不明です。
[Mac OS X 10.5.8 Finder]
0.txt -> 3.txt -> 4.txt -> 1.txtとなり、正しく処理しています。ただ、NTFS-3Gなどを入れていると並びはおかしくなっていました。詳細な挙動は不明です。
現状の結果は以下のとおりです。
- EnCase --- NG
- FTK (Imager) --- OK
- ProDiscover (Basic) --- NG
- Autospy (Sleuthkit) --- NG
- Windows Explorer --- NG
- Mac Finder --- OK
| 添付 | サイズ |
|---|---|
 Timestamp_20091006.E01 | 810.54 KB |
