最近Windows 7のイメージを見ていて気づいたのですが、NTFSなのにEnCaseのEntry Modifiedが空欄になっているファイルがあります。
上の画面で選択しているファイルjquery[1].jsはTemporary Internet Filesフォルダ内のキャッシュファイルです。このファイルのMFTのレコード部分を確認した結果が下の画面です。
$SIA内に保存されている4つのタイムスタンプの内、確かにEntry Modifiedに相当する部分が"04 01 00 00 6D 00 00 00"と見慣れない値になっています。他のタイムスタンプは$FNAのものも含め、"38 79 7E BF 0E E7 CB 01"や"0A 78 1D C0 0E E7 CB 01"となっていて、それぞれ2011/03/20 23:54:43または2011/03/20 23:54:44と正しい値を返しているように見えます。
fteを実行して、jquery[1].jsのタイムスタンプを確認すると以下のような結果となります。
fteではctimeとしていますが、Entry Modifiedは1601/01/01 22:00:15(LOCAL)と表示しています。"04 01 00 00 6D 00 00 00"をFILETIMEのフォーマットに従うと確かにこの結果になるのだと思いますが、時間情報としては明らかに誤っていることがわかります。なお、EnCaseは範囲外の値だったため空欄にしているのだと思われます。FTKはfteと同じように1601/01/01〜と表示しました。
このよくわからない挙動ですが、調べたところ下記の条件で起きています。
- Windows Vista/2008/7(x86/x84) (XP/2003では起きない)
- "%USERPROFILE%\AppData\Local\Microsoft\Windows\Temporary Internet Files"フォルダ内のキャッシュファイル
Entry Modified部分に埋め込まれるデータのパターンは不確定で様々でしたが、多くは"04 01 00 00 ?? 00 00 00"のパターンでした。"??"はカウンタのようなかたちで一定ファイル毎に増えています。ただこのパターンに沿わないものもあり、fteでは"6498/11/08 08:44:45..."などという結果を出すこともあります。さらに、Temporary Internet Files配下でも正しいEntry Modifiedを持つファイルもありました。
結局、原因は特定できないままですが、これらのキャッシュファイルは通常どのタイムスタンプも同じになるため、Entry Modifiedが空欄になっていた場合もFile CreatedやLast Written、Last Accessedと同じと見なして問題ないと思われます。
