2016
06
01

Standard Information Attribute vs FileName Attribute

ファイルのタイムスタンプには4種類ある。

Create - the time when the file was created (ファイルの作成日時)
Access - the last time the file was read (ファイルが最後に読まれた日時)
Modify - the last time the file was modified (content has been modified) (ファイルの中身が最後に更新された日時)
Change - the last time meta data of the file was changed (e.g. permissions) (ファイルの属性(読み書きの権限など)が最後に更新された日時)

またファイルにはStandard Information Attribute と FileName Attributeの2種類の属性がある。

Standard Information Attributeは簡単に編集することが可能。
FileName AttributeはWindows API経由では編集できない。

ファイル名が変更された場合、Standard Information Attributeではファイル作成日時以外の全ての日時がファイル名変更の日時に上書きされる。
そしてFileName Attributeでは全ての日時がファイル名変更前のStandard Information Attributeの日時に上書きされる。

以上のことからStandard Information Attribute上でタイムスタンプが改ざんされても
FileName Attributeを確認すれば改ざん前のタイムスタンプを知ることが可能。

## Reference
https://www.fireeye.com/blog/threat-research/2012/09/incident-response-ntfs-indx-buffers-part-2-internal.html
http://www.geoffblack.com/downloads/Evidence_of_Folder_Renaming.pdf
Comment



Only the blog author may view the comment.

[131]

Right now it sounds like Expression Engine is the best blogging
platform out there right now. (from what I've read) Is that what you are using on your blog?

Trackback
Trackback URL

«  | HOME |  »

奇妙な風景 Unique Scene
<< >>

プロフィール


最新記事


最新コメント


最新トラックバック


月別アーカイブ


カテゴリ


スポンサード リンク


FC2カウンター


検索フォーム


RSSリンクの表示


リンク


ブロとも申請フォーム


QRコード