コピーや移動によるタイムスタンプの変化について
なんか、事件の方は今回の改ざんの件で、論点が完全にずれてしまって、元々は何が問題だったのかということもすっかり忘れられてしまっているような気がする。
確かに証拠品となるFDを直接操作することから、そもそも間違っているわけだし、FDの日付改ざんの話が出たときに、上司が確認の必要なしと判断したということも問題視されているところなのだけど、決して検察の肩を持つわけではないが、実はこの上司二人がPCに詳しくて、昨日も書いたようにそもそもファイルのタイムスタンプなんて、使用したPCの時刻の整合やら、タイムスタンプの書き換えが簡単なことやらで、技術屋から見ればタイムスタンプの持つ意味なんて全然証拠能力がないわけなのだけれど、そこまで知っていて、「タイムスタンプなんて意味ないんだから、確認する必要もない」なんて判断をしていたら、それはそれですごすぎると思ったり。まぁそんなことは無いだろうけど。
ここのところ、ファイルのタイムスタンプについてずっと書いているので、ついでにもう少し。
FATのディレクトリエントリのどの位置にどのデータがあるのかという点については昨日の書き込みで書いたとおり。
0Dhには作成時刻の10m秒単位の値が入る。ファイルがコピーや新規保存等でディスク上にファイルとして新規作成された10m秒単位の値が入るが、ファイルのプロパティで表示される作成時刻の奇数秒の表示のみに使用される。値が00h~63hの場合は作成時刻で秒単位に表示、64h~c7hの場合、作成時刻+1秒で表示される。これが原因で作成時刻と更新時刻が1秒ずれて表示されることもある。はい、この時点で厳密に言うと作成時刻ってのが必ずしも作成された時刻を表していないことが明らかになる。また更新時刻の精度は2秒単位となっている。
NTFSの場合は、100ナノ秒単位で記録しているので、奇数秒に作成されたファイルをNTFSフォーマットのディスクからFATフォーマットのディスクにコピーすると、時刻の繰り上げが発生することがある。
NTFS 7時31分0秒000 をFATにコピーすると 7時31分0秒000であるが、
7時31分0秒001は7時31分2秒000
7時31分1秒000も7時31分2秒000
7時31分1秒999も7時31分2秒000
と変更される。
またWindowsNT以降のFATではアクセスについては日付のみしか記録されず書き込みをしたときのみ時刻が記録される。NTFSでは先ほど100ナノ秒単位と書いたが、アクセス日時のみ1時間単位での記録となる。なおアクセス日時というのは、最終書き込み日時、最終読み取り日時、最終実行日時のいずれかに基づき決定される。
ちなみにVista以降はパフォーマンス向上のためデフォルトでアクセス日時の記録をしなくなったはず。作成日時と同じ値になっているのではと思う。
それでは作成日時と更新日時はファイルのコピーや移動でどう変化するのか
FAT上のファイルを同じFAT上の別の場所へ、またFAT上からNTFS上へ、NTFS上から別のNTFS上へそれぞれ作業してみると、いずれの場合も
コピーすると、コピー前の更新日時が保たれるが、作成日時はコピーした日時に変化する。
移動した場合は、作成日時、更新日時ともに移動前の値が保持される。
ついでにフォルダの場合はどうなるかというと、
まず、NTFS上に2つのフォルダを作成する。いずれも作成日時と更新日時の値は同じものとなる。
次にフォルダ2をフォルダ1内に移動すると、フォルダ1の作成日時は変化せず、更新日時が変化
フォルダ1内のフォルダ2は、作成日時も更新日時も変化しない。
次、フォルダ2をフォルダ1内にコピーした場合は、フォルダ1の作成日時は変わらず、更新日時が変化
元のフォルダ2は、全く変化せず
フォルダ1内のフォルダ2は作成日時も更新日時も、コピーを行った日時になる。
つまりFATの場合は、フォルダ内が変更されてもフォルダ自身の更新日時は変化しないが、NTFSの場合は変化が生じる。
ということで、ややこしいが、作成日時と更新日時が時系列的に逆転しているようなファイルがある場合は、そのファイルは初めてファイルとして保存された場所は、今ある場所ではなく、その作成日時の値の日時にどこか別の場所からコピーされてきたものである可能性が高いということになる。
なお、FATでは時刻はそのOSのローカルタイムで記録されるが、NTFSの場合はUTCで記録されるようになっている。
9月23日23時(JST)にFAT上に記録したファイルは、どのタイムゾーンに設定されているPCで見ても9月23日23時(現地時刻)となるが、同じ時刻にNTFS上に記録したファイルは、タイムゾーンがイギリスになっているPCならば9月23日14時となるし、北京であれば9月23日22時となる。
イギリスで9月23日20時(GMT)に記録されたファイルと日本で9月23日23時(JST)に記録されたファイルがあった場合、FAT上への記録ならばイギリスで記録したファイルの方が3時間早いことになってしまうが、NTFSであれば同じタイムゾーンのPCに持ってきた場合に、日本の方が156時間早く記録したファイルであるということが判明する。
次回はファイルネームの話にでもするかな。
« タイムスタンプ以外からのファイル変更の痕跡 | トップページ | コマンドラインでタイムスタンプ変更 »
「デジタルフォレンジック」カテゴリの記事
- メールを証明するためには(2006.03.01)
- 本当にWinnyだけが悪いのか?(2006.03.02)
- 本物or偽物(2006.03.02)
- 印刷できないPDFを印刷するには(2006.03.04)
- まだまだ続く情報流出(2006.03.07)
「パソコン・インターネット」カテゴリの記事
- 2017年に購入した端末(2017.12.30)
- ブックオフ、ゲオ、ハードオフと回ってきた。(2017.02.19)
- メールを証明するためには(2006.03.01)
- 本当にWinnyだけが悪いのか?(2006.03.02)
- 本物or偽物(2006.03.02)
コメント
トラックバック
この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/166122/49543429
この記事へのトラックバック一覧です: コピーや移動によるタイムスタンプの変化について:
別の文書ファイルも改ざんか 逮捕の主任検事
http://www.asahi.com/special/kaizangiwaku/OSK201009250057.html
この、朝日新聞の記事って自爆していませんか。
投稿: すきまっ風 | 2010年9月25日 (土) 22時11分
ん、どういうことですか?
なんか朝日の記事を読んでもよくわかりません
投稿: 通りすがり | 2010年9月26日 (日) 01時51分
>検察関係者によると、前田検事が改ざんに使ったとみられる専用ソフトは「ファイルバイザー」。このソフトでFDの文書ファイルの日時データを変えると、末尾の「秒」が自動的に偶数になる。「通知案」の作成日時の秒も奇数から偶数に変わっていた。
作成日時については、奇数秒での記録も可能ですよねぇ。
偶数秒でしか記録できないのは更新時刻の話。
しかもFileVisorに限った話じゃなくFATの仕様のはず
投稿: xpf | 2010年9月26日 (日) 09時48分
>イギリスで9月23日20時(GMT)に記録されたファイルと日本で9月23日23時(JST)に記録されたファイルがあった場合、・・・中略・・・日本の方が15時間早く記録したファイルであるということが判明する。
15時間ではなく6時間ではありませんか?
投稿: DMC | 2015年2月25日 (水) 19時47分
DMCさん。
ありがとうございます。ほんとそうですね。
どう間違えたんだろ。
記事は訂正させていただきました。
投稿: xpf | 2015年3月 5日 (木) 22時08分