お天気ブログパーツ

XPERIAに関するお買い物はこちらから

Amazon

  • デジモノステーション増刊『SIM PERFECT BOOK 02』
  • はじめての格安SIMフリー入門
  • デジタル・フォレンジック概論~フォレンジックの基礎と活用ガイド~
  • 格安SIMカード マル秘 活用術 (ハッピーライフシリーズ)
  • “カワイイ"をシェアする写真術 (別冊ステレオサウンド) [ムック]
  • 携帯MNPで確実に稼ぐ合法テクニック  (MSムック ハッピーライフシリーズ)
  • All about ThinkPad 1991‐1998―History of the IBM ThinkPad notebook computers
  • アキバ署! 03 (アフタヌーンKC)
  • アキバ署! 02 (アフタヌーンKC)
  • アキバ署! 01 (アフタヌーンKC)
  • ハイテク犯罪捜査入門―図解・実例からのアプローチ (基礎編)
  • ハイテク犯罪捜査入門 捜査実務編―図解・実例からのアプローチ
  • 図解・実例からのアプローチ サイバー犯罪捜査入門(ハイテク犯罪捜査入門)―捜査応用編 (ハッカー検事シリーズ Vol. 3)
  • 激ヤバ スマートフォン裏技バイブル
  • Androidスマートフォン自力バージョンアップガイド (白夜ムック)
  • サイバー犯罪とデジタル鑑識の最前線!

なかのひと

  • 無料アクセス解析
無料ブログはココログ

Google Analytics

« HT-03Aでrootを取ってクロックアップ | トップページ | FD解析だけで改ざんをした日時までわかるのか?その特定方法について »

2010年9月22日 (水)

ファイルの改ざんを行った日時?

大阪地検特捜部の問題、今回問題になっているのは被告が作成した偽の証明書をFDに保存した日時、つまりファイルの更新日時

報道によると

差し押さえ後に調べたときは、当初「04年6月1日 午前1時20分06秒」となっていた更新日時が後で「04年6月8日」になっており、その更新日時の変更を行ったのが昨年の7月13日だったというもの。

さて、このFD、テレビ報道などで見ていると一太郎の文書ファイルであったことからFDはFAT12でフォーマットされていると思う。

FAT12でファイルを作成するとディレクトリエントリ構造では

0Dh に作成時刻の10m秒単位の値
0Eh~0Fh に作成時刻
10h~11h に作成日付
12h~13h にアクセス日付
16h~17h に更新時刻
18h~19h に更新日付

が記録される。

更新日時の変更を行った7月13日というタイムスタンプはどこから出てきたんだろう?

一太郎ってメタファイルにタイムスタンプを持っているのかなと思ったが、ファイルを開くのメニューから文書ファイルの詳細情報を見ると、前回印刷日時や総編集時間などの情報は持っているようであるが、更新日時についてはファイルのタイムスタンプから持ってきている模様である。

試しにファイルを変更せずにタイムスタンプのみを変更してみたが、同じように変更されていた。

更新日時の変更作業を行った日付ってどうすればわかるの?

誰か勉強不足な自分に教えてm(_ _)m

« HT-03Aでrootを取ってクロックアップ | トップページ | FD解析だけで改ざんをした日時までわかるのか?その特定方法について »

デジタルフォレンジック」カテゴリの記事

パソコン・インターネット」カテゴリの記事

コメント

私も、同様の疑問を持っていました。私の邪推ですが、7月13日午後というのは、単に最終アクセス日なのではないでしょうか?
更新日時をそのときに改竄したかどうかはわからないはずですよね?
更新日時変更ソフトを使って改竄した場合は、そのソフトの使用記録のログを調べれば判るとおもいますが、当然、返却されたFDからはそれは調べられませんよね。

そうなんですよね
ちなみに朝日新聞やNHKの画像を見るとアクセス日時は8月27日なんですよ。
っていうかそもそもこれらの文書ファイルを作成したり、捜査に使用したPCの時刻が正しかったかどうかも不明なわけで・・・
朝日新聞、もしくはFD解析を行った会社には、もう少し情報を開示して欲しいものです。
証拠品捜査のやり方にもいろいろ問題はあると思います(たとえば、原本は触らず物理的に複写した媒体を書き込み禁止状態でアクセスするとか)が、そういうことは抜きにして、純粋にFDを解析して改ざんした日時が特定できたに至る経緯が知りたいです。

うちの一太郎は閲覧するだけでFDに書き込みを行います。

私が持っているのは「一太郎10」です。10年程前の物なので最近の製品では違う可能性がありますが、FD内の一太郎ファイルを開くごとにディレクトリエントリにデータが記録されます。編集や再保存を行わなくても開いた回数だけエントリが増えます。
E5で始まる変なファイル名と共に作成日時、更新日時、アクセス日などが書き込まれます。
先頭クラスタ番号やファイル長は記録されていないので、FAT部分やデータ領域に変更は無いようです。

なので、改ざん日が7月13日午後というのは、この痕跡から結びつけているんじゃないかなと考えています。
ただしこれは、PC上の時計で7月13日午後に、問題のファイルが閲覧されていたと仮定しての話です。
「改ざんするぐらいだから閲覧だってするでしょ。」っていう推察ですので、閲覧の事実が無ければ全くもってゴメンナサイです。

それから、FD内のファイルに対してタイムスタンプ変更ソフトを用いて更新日時を変更しても、更新日時の変更作業を行った日付の痕跡は残らないと思います。
タイムスタンプ変更ソフトを使用して痕跡が残るとすれば、作成日時を変更した場合に0Dhに入る値が偶数秒の時は00h、奇数秒の時は64hになった場合に限られると思います。これについては、今回の件で実験してみて始めて知りました

うちの一太郎はメタファイルに更新日時を記録しているようです。

「改ざんした日時の特定」に関しての話でなくて恐縮ですが、一昔前の「一太郎10」で作成したファイル内に、ジャストシステム独自の時間管理?により、更新日時を記録している箇所がありました。
年:月:日:時:分:秒ごとにビットを割り当てるFATとは違う変な仕組みで、まるで電気やガスのメーターのような感じの方法で時を刻んでいます。
バイナリデータから更新日時を特定できる方法など全く分かりませんが、存在している事だけは確認できました。

文書ファイルの詳細情報欄の更新日時に、この仕組みを利用しないのは何故か。謎です。
隠しているだけなら、メタファイルじゃなくてメタボファイルになっていると思います。

コメントを書く

(ウェブ上には掲載しません)

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/166122/49523440

この記事へのトラックバック一覧です: ファイルの改ざんを行った日時?:

« HT-03Aでrootを取ってクロックアップ | トップページ | FD解析だけで改ざんをした日時までわかるのか?その特定方法について »

facebook

twitter

#XPERIAアンバサダー