お天気ブログパーツ

XPERIAに関するお買い物はこちらから

Amazon

  • デジモノステーション増刊『SIM PERFECT BOOK 02』
  • はじめての格安SIMフリー入門
  • デジタル・フォレンジック概論~フォレンジックの基礎と活用ガイド~
  • 格安SIMカード マル秘 活用術 (ハッピーライフシリーズ)
  • “カワイイ"をシェアする写真術 (別冊ステレオサウンド) [ムック]
  • 携帯MNPで確実に稼ぐ合法テクニック  (MSムック ハッピーライフシリーズ)
  • All about ThinkPad 1991‐1998―History of the IBM ThinkPad notebook computers
  • アキバ署! 03 (アフタヌーンKC)
  • アキバ署! 02 (アフタヌーンKC)
  • アキバ署! 01 (アフタヌーンKC)
  • ハイテク犯罪捜査入門―図解・実例からのアプローチ (基礎編)
  • ハイテク犯罪捜査入門 捜査実務編―図解・実例からのアプローチ
  • 図解・実例からのアプローチ サイバー犯罪捜査入門(ハイテク犯罪捜査入門)―捜査応用編 (ハッカー検事シリーズ Vol. 3)
  • 激ヤバ スマートフォン裏技バイブル
  • Androidスマートフォン自力バージョンアップガイド (白夜ムック)
  • サイバー犯罪とデジタル鑑識の最前線!

なかのひと

  • 無料アクセス解析
無料ブログはココログ

Google Analytics

« 今日はヘトヘト | トップページ | ドコモのSIMカード単体発売って以前からやってるよね? »

2010年10月13日 (水)

FileVisorの実行履歴?

朝日新聞の記事、「FD改ざん「あまりに稚拙」 矛盾ない書き換えは困難」の最後、

タイムスタンプ変更機能がある別のソフトを製作した男性(43)は「検察官がこのソフトの存在を知っていたことに驚いた。日時を変えなければ、使う必要がなく、捜査で使うなど考えられない」と語った。

日経新聞の記事、「改ざん利用のソフト4年以上前に導入」によると、

改ざんに用いたソフトを最高検が解析したところ、ソフトは少なくとも4年以上前に前田検事の私用パソコンに導入されたが、今回の事件以外の使用履歴はないことが8日、検察関係者の話で分かった。

まず、朝日の記事、FileVisorって高機能ファイル管理ソフトだよね。日時を変えなければ、使う必要がなく、捜査で使うなど考えられない」と言い切れるものなんだろうか。

FileVisorには、高度なファイルビューワー機能が付いていて、メディア内のファイルの状態や、ツリー構造、各ファイルのタイムスタンプとサイズ、ファイルの属性などが一目で分かり、ファイル管理という点ではエクスプローラよりもはるかに優れているのは当たり前であり、またたとえば、意図的に拡張子をリネームしてファイルを隠そうとしていたりしても「Enterキー」一つたたくだけでファイルの中身が見えて、そのヘッダー情報から拡張子偽装が見抜けたりもする。またWindowsは実フォルダの他にエクスプローラ上から見えるフォルダ構造と現実のディレクトリ構造とが異なっている仮想フォルダなどもあり、何かとこういう場面でコンピュータを調べたりするのにはエクスプローラより高機能なファイル管理ソフトの方が適していると思うのだけど・・・

ちなみに自分はFileVisorではなく、WinFDを愛用しているが、ファイルの操作でエクスプローラを使うことは皆無。なんと言っても、いちいちマウスを使わなくともキーボード操作のみでたいていのファイル操作ができてしまうことと、動作が軽いこと。更に誤操作のおそれがほとんど無いことなどが利点だと思う。

捜査でも十分に使えるんじゃないのかなぁと思うけど。

なんかこの記事読んでると、日付改ざんするためだけの悪いことをするソフトみたいな印象を持たれてしまうんじゃないのかなぁ。ファイルのコピーや移動、削除はもちろん画像の閲覧、音楽ファイルの再生等々、いつでもWinFDを使ってる自分は大悪人ですか。

で、それから日経の記事にあるFileVisorの実行履歴。

FileVisorはプリインストールされているわけでもなく、わざわざシェアウェアとして配布されているファイル管理ソフトをダウンロードしてインストールしているわけでしょ。配布されている圧縮ファイルのまま置いていたのならまだわかるけど、4年も前にインストールして、今年の7月13日まで一度も起動させていないなんて、普通はあり得ないんじゃないのかなぁ。だってファイル管理ソフトをわざわざダウンロードしてインストールまでするってのは、絶対に己の意志として実行しているわけでしょ。日付を変更するためじゃなくて本来の使い方をするためにインストールしたんじゃないのかなぁ。

普通、インストールしたら直後に確認のために一度起動させない?

ちなみにプログラムの実行履歴は、レジストリファイル内2カ所にrot13で暗号化されてプログラムの実行回数と実行履歴が保存されているし、Windowsのシステムフォルダ内の\Prefetchフォルダやプログラムファイルのタイムスタンプを見れば最後に実行された日時が特定できる。おそらくこれから出てきたんだろうと思う。Prefetchファイルの作成日時とかはどうだったんだろ?Prefetch内のファイルって、確か一度実行したらずっとあるわけでもなく、フォルダ内のファイル数だったか何かで勝手に削除されるはずなので、ここのファイル作成日時=一番最初にファイルを実行した日時と言い切ることはできないようだ。まぁレジストリ内の実行回数が1ならば、Prefetch内のファイルのタイムスタンプや実行ファイルのあるフォルダやスタートメニューへのショートカットの作成日時等で特定できそうだけど。

ちなみにこのレジストリの記録は、プログラムの実行ファイル名だけを記録しているので、仮にFileVisorをExcelという名前にリネームしていたり、ExcelをWinnyという名前にリネームしていたりすると、とんでもない実行履歴が出てきてしまう。

またこのレジストリに実行記録を残すユーザー操作追跡機能ってのは、XPのスタートメニューをクラシック表示にしている人には全く不要な機能なので、パフォーマンス改善のためのTipsとして無効にするという方法がネット上や雑誌等で数多く紹介されている。そのために必ず記録されているという情報ではなく、この調査が使えない場合もある。

« 今日はヘトヘト | トップページ | ドコモのSIMカード単体発売って以前からやってるよね? »

デジタルフォレンジック」カテゴリの記事

ニュース」カテゴリの記事

パソコン・インターネット」カテゴリの記事

コメント

いつでもWinFDを使ってるXPFさんが大悪人だったら、「タイムスタンプ変更ツール」ChTime.exeを毎日使っている私って、どうなるの

すいません。こちらにもお邪魔させていただきます。
正直なところ、ファイル管理ソフトは使った事がありませんでしたが、XPFさんのお話で少し興味が出てきましたので早速WinFDダウンロードしました。けど、良くわかりません。私には、ちょっと使いこなせないかも。

さて、レジストリファイルへのプログラムの実行履歴の記録、こんなのが在るとは知りませんでした。記録内容を見て驚きました。rot13という暗号も初めて知りましたし、ここにも例のタイムスタンプが出てきてちょっとびっくりしたり。HPへのショートカットまで残されてて本当、怖いくらいです。
以前に阿久津良和さんのコラムでユーザー操作追跡機能を無効にする方法は見てはいましたが、こういう内容だったとは。私もスタートメニューはクラシック表示なので、今後は無効にしたいと思います。貴重な情報ありがとうございました。

さて、FileVisorの実行履歴ですが、私もFileVisor自体が残す記録を見つけました。
C:\Documents and Settings\ユーザー名\Application Data\LightShip に、あるフォルダと内部のファイルです。フォルダ名は、FileVisorにバージョンの数字が付いた物で、インストールされた時に作成されます。そして、FileVisor本体を初めて実行させたのち終了させた際に2個のファイルが作成されます。つまり、ファイルの作成日時が最初の起動日(途中で削除されてなければですが)、そして更新日時が最後の起動日を表す事になります。ただ、起動した回数までは分からないですね。

が、しかしFileVisorの「タイムスタンプ変更機能」だけの使用(目的のファイル上での右クリックからの使用)ですと、2つのファイルに変化が起きません。残念です。ちなみにレジストリファイルのカウントも起きてないようです。

元々DOSの時代からファイル管理ソフトのFDやFILEMTNを使っていたので、もう体がこの操作を覚えちゃってるんでしょうね。WindowsになってからもファイルマネージャーやエクスプローラよりもWinFDを多用しています。
実行履歴記録については、私もPrefetchファイルを使って、ディスク最適化の際、使用頻度によって配置をするということから、最後に実行された日時がPrefetchファイルのアクセス日時からわかるんじゃないかとは思っていたんですが、レジストリへの記録について知ったのは、Antinnyの情報漏洩が流行った当時に、ネットエージェントが作ったWinny特別調査委員というソフトがあって、これがWinny等のP2Pファイル共有ソフトの実行を過去に行ったかどうかを調べることができるソフトだったんです。体験版をダウンロードしてみたら、自己解凍式の圧縮ファイルだったので、中身を見ていて参照しているレジストリを知ったというものです。この時もWinFDを使ったのですが、exeファイルを実行せずに自己解凍式というのがすぐにわかって、解凍もせずに中身をそのまま見ることができて便利でした。
FileVisorのユーザーディレクトリの下にある2つのファイル、appbar6.agd、idlbar6.igdこのファイルは、ユーザーごとのFileVisorの設定情報が格納されているっぽいですね。

FileVisor6の使用期限が大分少なくなってきました。しかし、他のユーザーでXPにログインすると。なんででしょう。レジストリでは無かったんですね。

それから、レジストリへの実行履歴の記録の場所については、もちろんXPFさんのブログ「2007年1月19日 (金) Winny特別調査委員」を拝見して(かなり手古摺りましたが)分かった訳でして。どうもありがとうございました。
それに、appbar6.agd、idlbar6.igdの2つのファイルですが、FileVisor6をアンイストールすると一緒に消えますね。いい加減な情報を書いてしまい申し訳ありませんでした。

FileVisorは一台のPCでも複数ユーザーが共有してFileVisorを使う場合はユーザー数分のライセンスが必要なようですね。
でも、ライセンス管理はそれぞれのユーザーごとのレジストリでやっているんじゃないですかね?たぶんHKCUあたりでやってるんじゃないかと・・・

うっう…。良く調べてみたらXPFさんが書かれた通り「HKCU」に問題のキーがありました。
XPのレジストリ本体は「C:\WINDOWS\system32\config」だけだと考えていたのが間違いでした。
思い込みって怖いですね。情けないです。そして勉強になりました。ありがとうございます。
お蔭様で簡単なレジストリ操作にて、試用期限の復活が可能になりました。
だけど「FileVisor6」あまり使わないかも。

しかし、ユーザー毎にライセンスが必要という事は1ライセンスで他のユーザーに同じキーを入力すると「FileVisor6」に叱られるって事でしょうか?。
プログラミングなど全く分からない私には謎が増えました。

コメントを書く

(ウェブ上には掲載しません)

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/166122/49727273

この記事へのトラックバック一覧です: FileVisorの実行履歴?:

« 今日はヘトヘト | トップページ | ドコモのSIMカード単体発売って以前からやってるよね? »

facebook

twitter

#XPERIAアンバサダー