Standard Information Attribute vs FileName Attribute

ファイルのタイムスタンプには4種類ある。

Create - the time when the file was created (ファイルの作成日時)
Access - the last time the file was read (ファイルが最後に読まれた日時)
Modify - the last time the file was modified (content has been modified) (ファイルの中身が最後に更新された日時)
Change - the last time meta data of the file was changed (e.g. permissions) (ファイルの属性(読み書きの権限など)が最後に更新された日時)

またファイルにはStandard Information Attribute と FileName Attributeの2種類の属性がある。

Standard Information Attributeは簡単に編集することが可能。
FileName AttributeはWindows API経由では編集できない。

ファイル名が変更された場合、Standard Information Attributeではファイル作成日時以外の全ての日時がファイル名変更の日時に上書きされる。
そしてFileName Attributeでは全ての日時がファイル名変更前のStandard Information Attributeの日時に上書きされる。

以上のことからStandard Information Attribute上でタイムスタンプが改ざんされても
FileName Attributeを確認すれば改ざん前のタイムスタンプを知ることが可能。

## Reference
https://www.fireeye.com/blog/threat-research/2012/09/incident-response-ntfs-indx-buffers-part-2-internal.html
http://www.geoffblack.com/downloads/Evidence_of_Folder_Renaming.pdf

この記事へのComments:

meemeggitt.wordpress.com : 2017/07/31 (月) 04:23:40

Right now it sounds like Expression Engine is the best blogging
platform out there right now. (from what I've read) Is that what you are using on your blog?

管理人のみ通知 :

Trackbacks:


プロフィール

トニヒコ

Author:トニヒコ
趣味は旅行と読書とマンガ。
将来の夢はコスモポリタン!

リンク・フリーです。

My hobby is traveling and reading(include manga).
My dream is to become cosmopolitan!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
スポンサード リンク
マクロミルへ登録
FC2カウンター
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR