お天気ブログパーツ

XPERIAに関するお買い物はこちらから

Amazon

  • デジモノステーション増刊『SIM PERFECT BOOK 02』
  • はじめての格安SIMフリー入門
  • デジタル・フォレンジック概論~フォレンジックの基礎と活用ガイド~
  • 格安SIMカード マル秘 活用術 (ハッピーライフシリーズ)
  • “カワイイ"をシェアする写真術 (別冊ステレオサウンド) [ムック]
  • 携帯MNPで確実に稼ぐ合法テクニック  (MSムック ハッピーライフシリーズ)
  • All about ThinkPad 1991‐1998―History of the IBM ThinkPad notebook computers
  • アキバ署! 03 (アフタヌーンKC)
  • アキバ署! 02 (アフタヌーンKC)
  • アキバ署! 01 (アフタヌーンKC)
  • ハイテク犯罪捜査入門―図解・実例からのアプローチ (基礎編)
  • ハイテク犯罪捜査入門 捜査実務編―図解・実例からのアプローチ
  • 図解・実例からのアプローチ サイバー犯罪捜査入門(ハイテク犯罪捜査入門)―捜査応用編 (ハッカー検事シリーズ Vol. 3)
  • 激ヤバ スマートフォン裏技バイブル
  • Androidスマートフォン自力バージョンアップガイド (白夜ムック)
  • サイバー犯罪とデジタル鑑識の最前線!

なかのひと

  • 無料アクセス解析
無料ブログはココログ

Google Analytics

« FD解析だけで改ざんをした日時までわかるのか?その特定方法について | トップページ | コピーや移動によるタイムスタンプの変化について »

2010年9月23日 (木)

タイムスタンプ以外からのファイル変更の痕跡

ファイル自身のタイムスタンプからだけではどうも難しいというのは再三書いているとおり。

次に書いたのが、ファイル自身のタイムスタンプとファイル自身のメタデータと呼ばれる部分に記録されている日付データとの矛盾

このメタデータは場合によっては不要な情報漏洩につながるとして、最近ではメタデータの情報を削除するようなツールもある。Microsoft Officeの場合は2007以降はOfficeの機能に備わっていたと思うし、2003やXP用にはMicrosoftから削除ツールが無料提供されている。

また削除するだけでなく、変更ができる機能を持つツールについてもインターネット上からダウンロードできる。

次はファイル名。DOS時代からPCを使い続けている人には、ファイル名というのは8文字+3文字の拡張子だったが、Windows95でロングファイル名が採用され、半角255文字までの長さが可能になった。

しかし、システム的には従来の「8+3文字」しか扱えないようなシステムでもロングファイル名で名付けられたファイルが読み書きできるように各ファイルには「8+3文字」形式のショートファイル名も付いている。

たとえば、「LONGFILENAME1.TXT」というファイルには「LONGFI~1.TXT」

次に作った「LONGFILENAME2.TXT」には「LONGFI~2.TXT」という風に8文字以上のファイル名だと6文字+「~1」という名前が付き、次に8文字目まで同じ名前のファイルが作られた場合には6文字+「~2」というショートファイル名が作られる。

こうして3個のファイルを作成してから、「LONGFILENAME2.TXT」を「LONGFILENAME4.TXT」にリネームしてもショートファイル名は「LONGFIL~3.TXT」のまま。

この後で「LONGFILENAME2.TXT」を改めて作成するとショートファイル名は「LONGFIL~4.TXT」となって順序に矛盾が出てくる。

これは、ただファイルのコピーなどを行う際の順序でもショートファイル名の通し番号が変わってしまうので、これを以て何らかの改ざんが行われたとは言い難い。

しかし、ファイルの作成日時、更新日時、ショートファイル名、メタデータ等を総合的に判断すれば、そのファイルが元々その場所にあったものなのか、どこか別の場所からコピーされたものかという可能性については判断できそうである。

ファイルのタイムスタンプの変化については、また別に書くこととする。

しかしいずれにしろ、タイムスタンプを変更した日時そのものの特定にはたどりつけない。

後は何だろう。メディア内にある残留磁気の強さが、更新のタイムスタンプの順番になっていないとかだろうか。さすがにこれは個人レベルで調べるのはちょっと難しい。

« FD解析だけで改ざんをした日時までわかるのか?その特定方法について | トップページ | コピーや移動によるタイムスタンプの変化について »

デジタルフォレンジック」カテゴリの記事

ニュース」カテゴリの記事

パソコン・インターネット」カテゴリの記事

コメント

コメントを書く

(ウェブ上には掲載しません)

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/166122/49539292

この記事へのトラックバック一覧です: タイムスタンプ以外からのファイル変更の痕跡:

« FD解析だけで改ざんをした日時までわかるのか?その特定方法について | トップページ | コピーや移動によるタイムスタンプの変化について »

facebook

twitter

#XPERIAアンバサダー