ひよこメモ

自分が調べたこととか試したこととか書いていきます

Forensics

ChromeのMedia Historyについて

IPFactory Advent Calendar 2020 - Qiita 19日目の記事です はじめに こんにちは、iria_piyoです。 今回は、Chrome86から追加されたMedia Historyというアーティファクトに関するメモを書きました。 環境 OS : Windows10 20H2 ブラウザ : Google Chrome バー…

NTFSのトンネリングとHardlink

IPFactory Advent Calendar 2019 - Qiita 18日目の記事です はじめに こんにちは、iria_piyoです。 今回は、ハードリンク同士でファイルシステムのトンネリング*1の検証を2つ行いました。 使用したツールはThe Sleuth Kitです。 環境 Windows10 1903 検証内…

NTFSのトンネリングとFileDownload(2)

はじめに こんにちは、iria_piyoです。 以前、ChromeでFile Downloadををおこなった時のファイルシステムのトンネリング*1について、検証を行いました。今回は、PowerShellのwgetでFile Downloadをおこなった時のファイルシステムのトンネリングについて検証…

ファイルコピーしたらMFT Modifiedも更新された件(2)

はじめに こんにちは、iria_piyoです。 前にファイルコピーしたらMFT Modifiedも更新された件というタイトルで、ブログを投稿しました。 今回は、別のコピー操作で$SIのMFT Modifiedが更新されることが確認できたので、書いていきます。 環境 Windows10 バー…

Volume Folder Moveですべての時間が更新された件

はじめに こんにちは、iria_piyoです。 今回は、moveコマンドを使用してボリューム間移動をおこなったときのタイムスタンプの更新についてメモします! 今回は空のフォルダで検証を行いました。 使用したツールはThe Sleuth Kitです。 環境 Windows10 バージ…

ファイルコピーしたらMFT Modifiedも更新された件

はじめに こんにちは、iria_piyoです。 ファイルコピーを行う際にファイルに属性が付与されているかどうかで結果が違ったので書いていこうと思います。 使用したツールはThe Sleuth Kitです。 詳細はこちら https://www.sleuthkit.org/sleuthkit/ 環境 Windo…

NTFSのトンネリングとFileDownload

はじめに こんにちは、iria_piyoです。 今回は、ダウンロード時にもファイルシステムのトンネリング*1が影響するのか検証してみました。 環境 Windows10 バージョン1803 Google Chrome使用 検証内容 ファイルmedamayaki.pngをダウンロードし、削除をする。 …

NTFSのトンネリングとFileRecovery

はじめに こんにちは、iria_piyoです。 今回は削除ファイルとファイルシステムのトンネリング*1の影響を受けていない)同名のファイルが存在する状況で、ファイルを削除した際、削除ファイルを復元するとタイムスタンプはどうなるのか検証してみることにしま…

NTFSのトンネリングとLocalFileMove(後編)

はじめに こんにちは、iria_piyoです。 前編ではファイル削除とファイル移動の操作で作成時間が引き継がれることを確認しました。 今回はファイルの削除、リネームの操作をせず、ファイル移動だけで作成時間が引き継がれるのか気になったので検証してみるこ…

NTFSのトンネリングとLocalFileMove(前編)

はじめに こんにちは、iria_piyoです。 削除済みのファイル名と同じファイル名でファイルを作成したら、$SIの作成時間が引き継がれたため、 LocalFileMoveで検証してみることにしました。 環境 Windows10 バージョン1803 検証内容 /test01/pomu_test01.txtを…