Forensicist

せっかく作ったfteがあるので、フォレンジック系の調査用ツールが搭載しているタイムスタンプの
処理周りを調べました。今回はエクスポート機能で出力したファイルのタイムスタンプがオリジナルを
どこまで維持しているか検証した結果です。

今回対象にしたファイルはCFReDS Hacking Caseのboot.iniファイルで、タイムスタンプは
以下の通りです(ImDiskでddイメージをFドライブにマウントしてfte実行)。

対象にしたツールはEnCase/FTK(Imager)/ProDiscover(Basic)の3つです。

まずはEnCaseの検証結果です(ddイメージからCopy/UnEraseで抽出)。

Iharaさんも紹介(http://d.hatena.ne.jp/hideakii/20100105/1262654697)してくれて
いますが、オリジナルのタイムスタンプのm, a, crtimeは秒までを維持しています。ctime
(EnCaseのEntry Modified)がCopy/UnEraseで取り出した時間に更新されるのはそのタイム
スタンプの性質上しょうがないというところでしょうか。

次にFTK(Imager)の検証結果です(ddイメージからExport Filesで抽出)。

EnCaseと同じくm, a, crtimeは秒までを維持しているという結果でした。

最後にProDiscover(Basic)の検証結果です(ddイメージからコンテントビュー->ファイルをコピーで抽出)。
# 他にそれらしいメニューがなかったのでこの方法がProDiscoverのエクスポート機能に相当すると判断

m, a, c, crすべてのタイムスタンプが実行時に更新されるという結果でした。

Sleuthkit/Autopsyは試してませんが、ブラウザ経由のダウンロードなのでタイムスタンプの維持は考慮
されていない(せいぜいmtimeを秒まで維持?)と想像しています。

この結果を見る限り、エクスポート系の機能で取り出したデータに対して、完全性が維持されるという期待は
しないほうがよさそうです。

fteは今回のように検証用途で使える場面は多少ありそうですが、調査時にも活用できないかなと思って
います。今のところfteの活用価値がありそうな方法として、PDEやImDiskを使ってマウントしてタイム
スタンプを列挙し、特徴的なデータを探すようなことを考えていますが、そのあたりは後日紹介したいと
思います。