%20%E3%81%8C%E6%9B%B8%E3%81%8D%E8%BE%BC%E3%81%BE%E3%82%8C%E3%81%9F%E3%81%8B%E3%80%81%E3%81%BE%E3%81%9F%E3%81%AF%E7%84%BC%E3%81%8D%E4%BB%98%E3%81%91%E3%82%89%E3%82%8C%E3%81%9F%E3%81%8B%E3%82%92%E7%A2%BA%E8%AA%8D%E3%81%99%E3%82%8B%E3%81%AB%E3%81%AF%E3%81%A9%E3%81%86%E3%81%99%E3%82%8C%E3%81%B0%E3%82%88%E3%81%84%E3%81%A7%E3%81%97%E3%82%87%E3%81%86%E3%81%8B%3F.png)
ディスクが書き込まれた/焼かれた日時を高い確度で特定する方法/ツールはありますか? これはデータ フォレンジックに関するもので、確実な証拠となるはずです。すでに IsoBuster を試しましたが、トラックが書き込まれた日時は表示されませんでした。
答え1
ほとんどの光データディスクは9660 規格ファイルシステム標準情報交換用CD-ROMのボリュームとファイル構造、ユニバーサルディスクフォーマット仕様またはその両方(UDF ブリッジ)。
どれかを調べるには、
mount
Linux では、ディスクがマウントされた後に光ディスク ドライブのデバイス ファイルを識別するために使用します。
出力例:
/dev/sr0 /media/dennis/CDROM iso9660 ro,nosuid,nodev,uid=1000,gid=1000,iocharset=utf8,mode=0400,dmode=0500,uhelper=udisks2 0 0
ここで、デバイスファイルは です/dev/sr0。コマンド
disktype /dev/sr0
使用可能なファイル システムが表示されます。両方が存在する場合は、ISO 9660 のファイルを分析する方が簡単になります。
9660 規格
標準規格では、分野を規定しているボリューム作成日時ボリュームの作成時刻を数値で表したもので、814バイト目から830バイト目に書き込まれます。プライマリボリューム記述子次の形式で:
YYYYMMDDHHMMSSCCO
どこCCはセンチ秒であり、おは、15分間隔のGMTからのオフセットで、8ビットの整数として保存されます(2の補数表現)。
ディスクの最初の 32 KiB (32,768 バイト) は ISO 9660 では使用されず、上記の記述子は未使用ブロックの直後に続くため、私たちが注目するのは 33,582 番目のバイトとそれに続く 16 バイトです。
この情報は、光ディスク上の生データをダンプ/読み取りできる任意のツールで分析できます。Linuxでは、ddイメージの関連部分をダンプし、16 進ダンプを実行して最後のバイトを正しく表示するには、次のようにします。
dd if=/dev/sr0 bs=1 skip=33581 count=17 | hexdump -C
私の Ubuntu 12.04 x64 LiveCD の場合、次のようになります。
00000000 32 30 31 32 30 38 32 33 31 37 31 33 34 37 30 30 |2012082317134700|
00000010 00 |.|
この画像は2012年8月23日 17:13:47.00 GMT。
ユーディーエフ
この規格では、録画日時プライマリボリュームの作成時点のバイナリ表現として、376番目から387番目のバイトに書き込まれます。プライマリボリューム記述子次の形式で:
TT tT YY YY MM DD HH MM SS CC BB AA
ここで、各ペアはオクテット(バイト)、つまりXX2 つの 16 進数で構成されます。
TT tTはリトルエンディアンタイムスタンプのタイプとタイムゾーンを表す 16 ビットの整数。最下位12ビット(
TTT)はタイムゾーンを保持し、UTCからのオフセットとして分単位で符号付き整数(2の補数表現)。最上位 4 ビット (
t) にはタイプ (常に1、つまり現地時間) が保持されます。MM、、、、、およびは、作成時の月、日、時、分、秒、センチ秒、100 マイクロ秒、マイクロ秒を表す符号なし 8 ビット整数ですDD。HHMMSSCCBBAA
繰り返しになりますが、ディスクの最初の 32 KiB は UDF では使用されません。さらに、次の 32 KiB バイトは、従来の ISO 9660 ファイル システム用に予約されています (存在する場合は、より多くのスペースを占有する可能性があります)。
「純粋な」UDFディスクでは、コマンド
dd if=/dev/sr0 bs=1 skip=65912 count=12 | hexdump -C
エンコードされたタイムスタンプが表示されます。
テスト目的で、K3bでUDFイメージを作成しました。コマンドの出力はdd次のようになりました。
00000000 4c 1f dd 07 03 01 0f 0b 11 00 00 00 |L...........|
0000000c
分析:
0xF4C (16 進数) は 0x800 より大きいため、負になります。0xF4C から 0x1000 を差し引くと、10 進数では -180 になります。つまり、タイムゾーンは UTC - 3 です。
0x07DD は 10 進数で 2013 (作成年) です。
残りのオクテットは、16 進数表現で文字通り解釈できます (0x0F、0x0B、0x11 は、10 進数では 15、11、17 になります)。
これは、画像が作成された日が2013年3月1日 15:11:17.000000 UTC - 3。
注意点
この日付を改ざんするのは簡単です。必要なのは、イメージを作成する前にコンピューターの日付を変更することだけです。
イメージが実際にディスクに書き込まれる前に作成された場合は、以前の時間が記録されます。したがって、このフィールドは、所有者自身が作成したディスクの潜在的な証拠にすぎません。
答え2
はい、あります。date属性timeこそあなたが探しているものです。フォルダーのビューを変更し、ファイルのプロパティを確認してください。
1 分前に W7 と Mac OS X の両方で 1 つのディスクをチェックしました。以下のスクリーンショットを参照してください。
