ひよこメモ

自分が調べたこととか試したこととか書いていきます

NTFSのトンネリングとFileDownload

Windows_Timestamp Forensics Windows

はじめに

こんにちは、iria_piyo🐣です。

今回は、ダウンロード時にもファイルシステムのトンネリング*1が影響するのか検証してみました。

環境

Windows10 バージョン1803

Google Chrome使用

検証内容

ファイルmedamayaki.pngをダウンロードし、削除をする。 その後、再びmedamayaki.pngをダウンロードしたら作成時間は引き継がれるのか。

medamayaki.pngダウンロード時(一回目)

>istat \\.\C:  78796-128-6
MFT Entry Header Values:
Entry: 78796        Sequence: 17
$LogFile Sequence Number: 86674637289
Allocated File
Links: 2

$STANDARD_INFORMATION Attribute Values:
Flags: Archive
Owner ID: 0
Security ID: 5091  (S-1-5-21-3763767945-1047358448-4033639875-8282)
Last User Journal Update Sequence Number: 18433438072
Created:        2018-10-10 12:46:48.087722600 (  
File Modified:   2018-10-10 12:46:48.928756600 (  
MFT Modified: 2018-10-10 12:46:48.928756600 (  
Accessed:        2018-10-10 12:46:48.087722600 ( 
$FILE_NAME Attribute Values:
Flags: Archive
Name: MEDAMA~1.PNG
Parent MFT Entry: 155482        Sequence: 2
Allocated Size: 495616          Actual Size: 492048
Created:        2018-10-10 12:46:48.087722600 (  
File Modified:   2018-10-10 12:46:48.416988200 (  
MFT Modified: 2018-10-10 12:46:48.416988200 (  
Accessed:        2018-10-10 12:46:48.087722600 (
$FILE_NAME Attribute Values:
Flags: Archive
Name: medamayaki.png
Parent MFT Entry: 155482        Sequence: 2
Allocated Size: 495616          Actual Size: 492048
Created:        2018-10-10 12:46:48.087722600 (  
File Modified:   2018-10-10 12:46:48.416988200 (  
MFT Modified: 2018-10-10 12:46:48.416988200 (  
Accessed:        2018-10-10 12:46:48.087722600 (

Attributes:
Type: $STANDARD_INFORMATION (16-0)   Name: N/A   Resident   size: 72
Type: $FILE_NAME (48-8)   Name: N/A   Resident   size: 90
Type: $FILE_NAME (48-7)   Name: N/A   Resident   size: 94
Type: $DATA (128-6)   Name: N/A   Non-Resident   size: 492048  init_size: 492048
232624 232625 232626 232627 232628 232629 232630 232631
357940 357941 357942 357943 357944 357945 357946 357947
2750508 2750509 2750510 2750511 2750512 2750513 2750514 2750515
2750516 2750517 2750518 2750519 2750520 2750521 2750522 2750523
2750524 2750525 2750526 2750527 2750528 2750529 2750530 2750531
2750532 2750533 2750534 2750535 2750536 2750537 2750538 2750539
3304280 3304281 3304282 3304283 3304284 3304285 3304286 3304287
3304288 3304289 3304290 3304291 3304292 3304293 3304294 3304295
3304296 3304297 3304298 3304299 3304300 3304301 3304302 3304303
3304304 3304305 3304306 3304307 3304308 3304309 3304310 3304311
5470716 5470717 5470718 5470719 5470720 5470721 5470722 5470723
5470724 5470725 5470726 5470727 5470728 5470729 5470730 5470731
5470732 5470733 5470734 5470735 5470736 5470737 5470738 5470739
5470740 5470741 5470742 5470743 5470744 5470745 5470746 5470747
5470748 5470749 5470750 5470751 5470752 5470753 5470754 5470755
5470756
Type: $DATA (128-9)   Name: Zone.Identifier   Resident   size: 157

medamayaki.png再ダウンロード時

>istat \\.\C: 78796-128-6
MFT Entry Header Values:
Entry: 78796        Sequence: 18
$LogFile Sequence Number: 86675681577
Allocated File
Links: 2

$STANDARD_INFORMATION Attribute Values:
Flags: Archive
Owner ID: 0
Security ID: 5091  (S-1-5-21-3763767945-1047358448-4033639875-8282)
Last User Journal Update Sequence Number: 18433929376
Created:        2018-10-10 12:46:48.087722600 (  
File Modified:   2018-10-10 12:53:48.551209100 (  
MFT Modified: 2018-10-10 12:53:48.551209100 (  
Accessed:        2018-10-10 12:53:48.235617500 (
$FILE_NAME Attribute Values:
Flags: Archive
Name: MEDAMA~1.PNG
Parent MFT Entry: 155482        Sequence: 2
Allocated Size: 495616          Actual Size: 492048
Created:        2018-10-10 12:53:48.235617500 (  
File Modified:   2018-10-10 12:53:48.455643200 (  
MFT Modified: 2018-10-10 12:53:48.455643200 (  
Accessed:        2018-10-10 12:53:48.235617500 (
$FILE_NAME Attribute Values:
Flags: Archive
Name: medamayaki.png
Parent MFT Entry: 155482        Sequence: 2
Allocated Size: 495616          Actual Size: 492048
Created:        2018-10-10 12:53:48.235617500 (  
File Modified:   2018-10-10 12:53:48.455643200 (  
MFT Modified: 2018-10-10 12:53:48.455643200 (  
Accessed:        2018-10-10 12:53:48.235617500 (

Attributes:
Type: $STANDARD_INFORMATION (16-0)   Name: N/A   Resident   size: 72
Type: $FILE_NAME (48-8)   Name: N/A   Resident   size: 90
Type: $FILE_NAME (48-7)   Name: N/A   Resident   size: 94
Type: $DATA (128-6)   Name: N/A   Non-Resident   size: 492048  init_size: 492048
471252 471253 471254 471255 471256 471257 471258 471259
2536290 2536291 2536292 2536293 2536294 2536295 2536296 2536297
2536298 2536299 2536300 2536301 2536302 2536303 2536304 2536305
30870582 30870583 30870584 30870585 30870586 30870587 30870588 30870589
30870590 30870591 30870592 30870593 30870594 30870595 30870596 30870597
30711446 30711447 30711448 30711449 30711450 30711451 30711452 30711453
30711454 30711455 30711456 30711457 30711458 30711459 30711460 30711461
30711462 30711463 30711464 30711465 30711466 30711467 30711468 30711469
30711470 30711471 30711472 30711473 30711474 30711475 30711476 30711477
7615652 7615653 7615654 7615655 7615656 7615657 7615658 7615659
7615660 7615661 7615662 7615663 7615664 7615665 7615666 7615667
7615668 7615669 7615670 7615671 7615672 7615673 7615674 7615675
7615676 7615677 7615678 7615679 7615680 7615681 7615682 7615683
7615684 7615685 7615686 7615687 7615688 7615689 7615690 7615691
7615692 7615693 7615694 7615695 7615696 7615697 7615698 7615699
7615700
Type: $DATA (128-9)   Name: Zone.Identifier   Resident   size: 157

結果

作成時間が引き継がれました。 記事がトンネリングの検証ばかりなので、そろそろ別の記事も書かないと...

*1:ファイルがディレクトリから削除またはリネームされると、SFN/LFNと作成時間が短時間(デフォルトで15秒間)キャッシュに保存されます。このキャッシュは、ディレクトリごとに分けられています。 削除されたファイル名がキーとなり、新しいファイルがディレクトリに追加されると、キャッシュを検索し、復元できる情報があるか確認されます。 ディレクトリが削除されてしまうと、そのディレクトリのキャッシュも削除されてしまいます。