ファイルの改ざんを行った日時?
大阪地検特捜部の問題、今回問題になっているのは被告が作成した偽の証明書をFDに保存した日時、つまりファイルの更新日時
報道によると
差し押さえ後に調べたときは、当初「04年6月1日 午前1時20分06秒」となっていた更新日時が後で「04年6月8日」になっており、その更新日時の変更を行ったのが昨年の7月13日だったというもの。
さて、このFD、テレビ報道などで見ていると一太郎の文書ファイルであったことからFDはFAT12でフォーマットされていると思う。
FAT12でファイルを作成するとディレクトリエントリ構造では
0Dh に作成時刻の10m秒単位の値
0Eh~0Fh に作成時刻
10h~11h に作成日付
12h~13h にアクセス日付
16h~17h に更新時刻
18h~19h に更新日付
が記録される。
更新日時の変更を行った7月13日というタイムスタンプはどこから出てきたんだろう?
一太郎ってメタファイルにタイムスタンプを持っているのかなと思ったが、ファイルを開くのメニューから文書ファイルの詳細情報を見ると、前回印刷日時や総編集時間などの情報は持っているようであるが、更新日時についてはファイルのタイムスタンプから持ってきている模様である。
試しにファイルを変更せずにタイムスタンプのみを変更してみたが、同じように変更されていた。
更新日時の変更作業を行った日付ってどうすればわかるの?
誰か勉強不足な自分に教えてm(_ _)m
« HT-03Aでrootを取ってクロックアップ | トップページ | FD解析だけで改ざんをした日時までわかるのか?その特定方法について »
「パソコン・インターネット」カテゴリの記事
- Emotetが送られてきたのでちょっと中身をのぞいてみた。(3月16日追記)(2022.03.10)
- 今年買ったデジタルガジェット #2018ガジェ収め(2018.12.24)
- 2017年に購入した端末(2017.12.30)
- ブックオフ、ゲオ、ハードオフと回ってきた。(2017.02.19)
- 格安Windowsタブレット購入(2016.01.04)
「デジタルフォレンジック」カテゴリの記事
- Emotetが送られてきたのでちょっと中身をのぞいてみた。(3月16日追記)(2022.03.10)
- AppleTime、UnixTimeからJSTへの変換(2015.04.15)
- Androidでのバックアップ(2014.07.25)
- iOSやAndroid端末内に保存される位置情報履歴?(2014.06.05)
- iOS6に記録される位置情報履歴(2013.02.16)
コメント
この記事へのコメントは終了しました。
« HT-03Aでrootを取ってクロックアップ | トップページ | FD解析だけで改ざんをした日時までわかるのか?その特定方法について »
私も、同様の疑問を持っていました。私の邪推ですが、7月13日午後というのは、単に最終アクセス日なのではないでしょうか?
更新日時をそのときに改竄したかどうかはわからないはずですよね?
更新日時変更ソフトを使って改竄した場合は、そのソフトの使用記録のログを調べれば判るとおもいますが、当然、返却されたFDからはそれは調べられませんよね。
投稿: John | 2010年9月22日 (水) 18時04分
そうなんですよね
ちなみに朝日新聞やNHKの画像を見るとアクセス日時は8月27日なんですよ。
っていうかそもそもこれらの文書ファイルを作成したり、捜査に使用したPCの時刻が正しかったかどうかも不明なわけで・・・
朝日新聞、もしくはFD解析を行った会社には、もう少し情報を開示して欲しいものです。
証拠品捜査のやり方にもいろいろ問題はあると思います(たとえば、原本は触らず物理的に複写した媒体を書き込み禁止状態でアクセスするとか)が、そういうことは抜きにして、純粋にFDを解析して改ざんした日時が特定できたに至る経緯が知りたいです。
投稿: xpf | 2010年9月23日 (木) 01時31分
うちの一太郎は閲覧するだけでFDに書き込みを行います。
私が持っているのは「一太郎10」です。10年程前の物なので最近の製品では違う可能性がありますが、FD内の一太郎ファイルを開くごとにディレクトリエントリにデータが記録されます。編集や再保存を行わなくても開いた回数だけエントリが増えます。
E5で始まる変なファイル名と共に作成日時、更新日時、アクセス日などが書き込まれます。
先頭クラスタ番号やファイル長は記録されていないので、FAT部分やデータ領域に変更は無いようです。
なので、改ざん日が7月13日午後というのは、この痕跡から結びつけているんじゃないかなと考えています。
ただしこれは、PC上の時計で7月13日午後に、問題のファイルが閲覧されていたと仮定しての話です。
「改ざんするぐらいだから閲覧だってするでしょ。」っていう推察ですので、閲覧の事実が無ければ全くもってゴメンナサイです。
それから、FD内のファイルに対してタイムスタンプ変更ソフトを用いて更新日時を変更しても、更新日時の変更作業を行った日付の痕跡は残らないと思います。
タイムスタンプ変更ソフトを使用して痕跡が残るとすれば、作成日時を変更した場合に0Dhに入る値が偶数秒の時は00h、奇数秒の時は64hになった場合に限られると思います。これについては、今回の件で実験してみて始めて知りました
投稿: すきまっ風 | 2010年9月28日 (火) 05時29分
うちの一太郎はメタファイルに更新日時を記録しているようです。
「改ざんした日時の特定」に関しての話でなくて恐縮ですが、一昔前の「一太郎10」で作成したファイル内に、ジャストシステム独自の時間管理?により、更新日時を記録している箇所がありました。
年:月:日:時:分:秒ごとにビットを割り当てるFATとは違う変な仕組みで、まるで電気やガスのメーターのような感じの方法で時を刻んでいます。
バイナリデータから更新日時を特定できる方法など全く分かりませんが、存在している事だけは確認できました。
文書ファイルの詳細情報欄の更新日時に、この仕組みを利用しないのは何故か。謎です。
隠しているだけなら、メタファイルじゃなくてメタボファイルになっていると思います。
投稿: すきまっ風 | 2010年9月29日 (水) 00時22分