【33】BitCuratorに再チャレンジ

BitCurator自体がデータを作っていないかをチェック

前回、中古のジャンク品のUSBメモリをテストした際に、bulk_extractorでドメイン名やメールアドレスが多くスキャンされました。BitCurator自体がデータを作っていないかを確認するために、真っさらにしたUSBメモリで再テスト。
簡易フォーマットではないフォーマットを行い、中身はすべて０を記入した62mbのバイナリーファイルとそれを作るためのCのソースファイルとその実行ファイルで構成しました。

bulk_extractorでイメージファイルをスキャン。作成した覚えのないファイルを拾わなかったので、BitCuratorが健全に動いて、対象となるデバイスの情報だけをスキャンしていることを確認しました。

新品のUSBメモリでテスト

新たに、128MBのUSBメモリでテストします。一旦ファイルとディレクトリ構造を作って、全部消去したものです。いかがわしい画像・動画が入っていることを期待( ͡° ͜ʖ ͡°)！

bulk_extractorでスキャンした情報を確認。どうしていれた覚えのないdomain.txt（＝ドメイン情報）が入っているのかがわからない。
iphoneで撮影したデータを入れたが、そこに付随するドメイン情報を読み取っているのだろうか。
Wordファイル、PDFファイルに付随して、adobeやmicrosoftのdomain情報を読み取っている可能性もあります。

fiwalkのメタデータを確認

fiwalkのxmlファイルを参照。時間の表記がなぜそうなっているのかわかりません。
mtime＝修正時間（inode管理）
atime＝アクセス時間
crtime＝作成時間
テストしたイメージでは
mtime 2016-06-25T04:06:08
atime 2019-05-24T04:00:00
crtime 2019-05-24T17:34:18
mtimeがatimeとcrtimeより早くなっているという不思議な現象です。
crtimeとatimeは、別のマシンで作成したデータをまるまんまコピーしてUSBメモリに写した日時、mtimeは元のマシンで修正した日時を反映しているようです。
また、それぞれのtimeには誤差が生じる可能性があります。
atimeは±86400秒、crtimeは±2秒、mtimeは失念。
特にatimeの誤差は大きく、他のケースも見たところ、別媒体にコピーして未アクセスの場合、4:00:00になるのではと推測。

timeのところのZは、UTC（協定世界時＝グリニッジ標準時）で表記していることを示すもので、日本時間はUTC との時差を +09:00 などとして示されます。

ところで、コピーの貼り付けで電子ファイルの本当の時刻がわからなくなるのは大問題です。デジタルフォレンジックスの意味がない。

参加メンバーによると、Windowsの仕様で、USBファイルにドラッグコピーすると、書き込んだ時刻に変更されてしまう事例があるとのことです。要対策です。

備考

purl.orgの意味はこちら
http://blog.appling.jp/archives/1577

追加：ファイル数のカウント

BitCuratorには、ファイルのフォーマット別にファイル数をカウントし、レポートにまとめてくれる機能があります。しかし、ここで挙げられる数字と実際にUSBファイルに入れたデータファイルの数が合いません。何をBitCuratorがカウントしているのかを調査する必要があります。

次回日程

次回は6/7（金）です。忘れずに来てください。

【32】Bitcuratorインストール＆AtoM2.5リリース

道場のインフラの整理がとても時間がかかっていますが、今日も若干その続きです。ITの素人には、こういうのもお勉強ということで。勉強会始まります！

Bitcuratorのインストール

前回道場1号機にVirtureBoxを入れるまで終わったので、今日はBitcuratorをインストールします。まずは、virtureboxを立ち上げて、追加（プラスボタン）を押して、ダウンロードしたBitcurator2.0.14ファイルを選択してインストールします。

ガイドラインはいつものこれ↓

Bitcurator Quick guide

http://distro.ibiblio.org/bitcurator/docs/BitCurator-Quickstart-v2.pdf

USBメモリの認識
インストールが無事できたので、容量の少ないUSBメモリを解析してみます。しかし、前回と環境が変わってせいか、USBを認識させるのに苦労をしています。ググって出てきた情報を参考に設定を変えてみます。

参考サイトはここ↓
https://qiita.com/civic/items/684c4b82428feb0c4ae1

この中で、「USB機器の一覧がでないときは、virtualboxを起動するユーザがvboxusersグループに所属していないとダメ」という部分が要因のようです。つまり、道場1号機のユーザーが、Bitcuratorのグループに属していないといけない。これはサーバー上のコマンドラインで設定します。そこで以下を実行したら、やっとUSBを認識してくれました！

$ sudo gpasswd -a YOUR_USERNAME vboxusers



USBメモリの解析
次はガイドラインのp23、p24に進みます。
p28, p29へと進んで、ガイドラインにあるように（下記）設定して、startします。

上のimage directoryは、必ず入力しなければなりません。何も入力しないと、書く先がないということで、永遠に作業が終わらないみたいです。ガイドラインにだまされないように注意しましょう。我々は、/home/bcadmin/Desktop/SampleDataを入力しました。
しかしstartしたところ、試したUSB（16GB）の処理には30分から1時間くらいは時間がかかりそうでしたので、約200MBのUSBで再度試します。テストの際には、時間を考慮して容量の少ないものにしましょう。200MBくらいのUSBのbulk extractor scanは、約5分くらいでできました。では、reportを確認します〜（楽しみ〜）

今回は、中古の古いUSBを購入して解析してみましたが、なぜかurlがたくさん含まれていました。一般的に文書を作成する際に、これほどURLが書き込まれるのだろうか？一体今今見ているものは何なのか...実は、reportを見たところで人間が読める形ではないので（一部URL部分は解読できますが）、我々が一所懸命見たところで理解できるはずがありません。

といことで、今日はガイドラインのp38まで進みました。今日はここまでにします。この謎めいた結果の続きは、次回をお楽しみに！


AtoM2.5バージョンリリースについて

AtoMのNew featuresは、ユーザーフォーラムにあります。Treeviewが改善されたり、CSVのimportの性能もよくなったみたいです。

https://groups.google.com/forum/#!topic/ica-atom-users/6V_-leoTgwU


============================
次回
2019年5月24日（金）
テスト用のUSBメモリ（小容量、新品）を用意して、色な種類のデータを中に入れて試しましょう！