BitCurator自体がデータを作っていないかをチェック
前回、中古のジャンク品のUSBメモリをテストした際に、bulk_extractorでドメイン名やメールアドレスが多くスキャンされました。BitCurator自体がデータを作っていないかを確認するために、真っさらにしたUSBメモリで再テスト。簡易フォーマットではないフォーマットを行い、中身はすべて0を記入した62mbのバイナリーファイルとそれを作るためのCのソースファイルとその実行ファイルで構成しました。
bulk_extractorでイメージファイルをスキャン。作成した覚えのないファイルを拾わなかったので、BitCuratorが健全に動いて、対象となるデバイスの情報だけをスキャンしていることを確認しました。
新品のUSBメモリでテスト
新たに、128MBのUSBメモリでテストします。一旦ファイルとディレクトリ構造を作って、全部消去したものです。いかがわしい画像・動画が入っていることを期待( ͡° ͜ʖ ͡°)!bulk_extractorでスキャンした情報を確認。どうしていれた覚えのないdomain.txt(=ドメイン情報)が入っているのかがわからない。
iphoneで撮影したデータを入れたが、そこに付随するドメイン情報を読み取っているのだろうか。
Wordファイル、PDFファイルに付随して、adobeやmicrosoftのdomain情報を読み取っている可能性もあります。
fiwalkのメタデータを確認
fiwalkのxmlファイルを参照。時間の表記がなぜそうなっているのかわかりません。mtime=修正時間(inode管理)
atime=アクセス時間
crtime=作成時間
テストしたイメージでは
mtime 2016-06-25T04:06:08
atime 2019-05-24T04:00:00
crtime 2019-05-24T17:34:18
mtimeがatimeとcrtimeより早くなっているという不思議な現象です。
crtimeとatimeは、別のマシンで作成したデータをまるまんまコピーしてUSBメモリに写した日時、mtimeは元のマシンで修正した日時を反映しているようです。
また、それぞれのtimeには誤差が生じる可能性があります。
atimeは±86400秒、crtimeは±2秒、mtimeは失念。
特にatimeの誤差は大きく、他のケースも見たところ、別媒体にコピーして未アクセスの場合、4:00:00になるのではと推測。
timeのところのZは、UTC(協定世界時=グリニッジ標準時)で表記していることを示すもので、日本時間はUTC との時差を +09:00 などとして示されます。
ところで、コピーの貼り付けで電子ファイルの本当の時刻がわからなくなるのは大問題です。デジタルフォレンジックスの意味がない。
参加メンバーによると、Windowsの仕様で、USBファイルにドラッグコピーすると、書き込んだ時刻に変更されてしまう事例があるとのことです。要対策です。
備考
purl.orgの意味はこちらhttp://blog.appling.jp/archives/1577
追加:ファイル数のカウント
BitCuratorには、ファイルのフォーマット別にファイル数をカウントし、レポートにまとめてくれる機能があります。しかし、ここで挙げられる数字と実際にUSBファイルに入れたデータファイルの数が合いません。何をBitCuratorがカウントしているのかを調査する必要があります。
