せっかく作ったfteがあるので、フォレンジック系の調査用ツールが搭載しているタイムスタンプの処理周りを調べました。今回はエクスポート機能で出力したファイルのタイムスタンプがオリジナルをどこまで維持しているか検証した結果です。
今回対象にしたファイルはCFReDS Hacking Caseのboot.iniファイルで、タイムスタンプは以下の通りです(ImDiskでddイメージをFドライブにマウントしてfte実行)。
対象にしたツールはEnCase/FTK(Imager)/ProDiscover(Basic)の3つです。
まずはEnCaseの検証結果です(ddイメージからCopy/UnEraseで抽出)。
Iharaさんも紹介(http://d.hatena.ne.jp/hideakii/20100105/1262654697)してくれていますが、オリジナルのタイムスタンプのm, a, crtimeは秒までを維持しています。ctime(EnCaseのEntry Modified)がCopy/UnEraseで取り出した時間に更新されるのはそのタイムスタンプの性質上しょうがないというところでしょうか。
次にFTK(Imager)の検証結果です(ddイメージからExport Filesで抽出)。
EnCaseと同じくm, a, crtimeは秒までを維持しているという結果でした。
最後にProDiscover(Basic)の検証結果です(ddイメージからコンテントビュー->ファイルをコピーで抽出)。
# 他にそれらしいメニューがなかったのでこの方法がProDiscoverのエクスポート機能に相当すると判断
m, a, c, crすべてのタイムスタンプが実行時に更新されるという結果でした。
Sleuthkit/Autopsyは試してませんが、ブラウザ経由のダウンロードなのでタイムスタンプの維持は考慮されていない(せいぜいmtimeを秒まで維持?)と想像しています。
この結果を見る限り、エクスポート系の機能で取り出したデータに対して、完全性が維持されるという期待はしないほうがよさそうです。
fteは今回のように検証用途で使える場面は多少ありそうですが、調査時にも活用できないかなと思っています。今のところfteの活用価値がありそうな方法として、PDEやImDiskを使ってマウントしてタイムスタンプを列挙し、特徴的なデータを探すようなことを考えていますが、そのあたりは後日紹介したいと思います。
