Last active
May 17, 2016 11:53
-
-
Save Tony3-sec/c66ef351f0f4ced33b0efc2a96cf028d to your computer and use it in GitHub Desktop.
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| ファイルのタイムスタンプには4種類ある。 | |
| Create - the time when the file was created (ファイルの作成日時) | |
| Access - the last time the file was read (ファイルが最後に読まれた日時) | |
| Modify - the last time the file was modified (content has been modified) (ファイルの中身が最後に更新された日時) | |
| Change - the last time meta data of the file was changed (e.g. permissions) (ファイルの属性(読み書きの権限など)が最後に更新された日時) | |
| またファイルにはStandard Information Attribute と FileName Attributeの2種類の属性がある。 | |
| Standard Information Attributeは簡単に編集することが可能。 | |
| FileName AttributeはWindows API経由では編集できない。 | |
| ファイル名が変更された場合、Standard Information Attributeではファイル作成日時以外の全ての日時がファイル名変更の日時に上書きされる。 | |
| そしてFileName Attributeでは全ての日時がファイル名変更前のStandard Information Attributeの日時に上書きされる。 | |
| 以上のことからStandard Information Attribute上でタイムスタンプが改ざんされても | |
| FileName Attributeを確認すれば改ざん前のタイムスタンプを知ることが可能。 | |
| ## Reference | |
| https://www.fireeye.com/blog/threat-research/2012/09/incident-response-ntfs-indx-buffers-part-2-internal.html | |
| http://www.geoffblack.com/downloads/Evidence_of_Folder_Renaming.pdf |
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment