ファイルコピーしたらMFT Modifiedも更新された件
はじめに
こんにちは、iria_piyo🐣です。
ファイルコピーを行う際にファイルに属性が付与されているかどうかで結果が違ったので書いていこうと思います。
使用したツールはThe Sleuth Kitです。
詳細はこちら
https://www.sleuthkit.org/sleuthkit/
環境
Windows10 バージョン1803
ファイル作成後に属性を付与せずにファイルコピーを行った場合
ファイルchick.txtをfsutilコマンドで作成し、istatコマンドでタイムスタンプを確認します。
chick.txt作成時
>istat \\.\C: 223402-128-1 MFT Entry Header Values: Entry: 223402 Sequence: 96 $LogFile Sequence Number: 94278591505 Allocated File Links: 1 $STANDARD_INFORMATION Attribute Values: Flags: Archive, Compressed Owner ID: 0 Security ID: 5437 (S-1-5-32-544) Last User Journal Update Sequence Number: 19756330016 Created: 2018-12-07 18:17:17.017127700 ( File Modified: 2018-12-07 18:17:17.017127700 ( MFT Modified: 2018-12-07 18:17:17.017127700 ( Accessed: 2018-12-07 18:17:17.017127700 ( $FILE_NAME Attribute Values: Flags: Archive, Compressed Name: chick.txt Parent MFT Entry: 53781 Sequence: 11 Allocated Size: 0 Actual Size: 0 Created: 2018-12-07 18:17:17.017127700 ( File Modified: 2018-12-07 18:17:17.017127700 ( MFT Modified: 2018-12-07 18:17:17.017127700 ( Accessed: 2018-12-07 18:17:17.017127700 ( Attributes: Type: $STANDARD_INFORMATION (16-0) Name: N/A Resident size: 72 Type: $FILE_NAME (48-2) Name: N/A Resident size: 84 Type: $DATA (128-1) Name: N/A Resident size: 0
copyコマンドでファイルをコピーします。
chick.txtコピー後
>istat \\.\C: 46353-128-1 MFT Entry Header Values: Entry: 46353 Sequence: 137 $LogFile Sequence Number: 94289244565 Allocated File Links: 1 $STANDARD_INFORMATION Attribute Values: Flags: Archive, Compressed Owner ID: 0 Security ID: 5437 (S-1-5-32-544) Last User Journal Update Sequence Number: 19756863088 Created: 2018-12-07 18:39:58.132325900 ( File Modified: 2018-12-07 18:17:17.017127700 ( MFT Modified: 2018-12-07 18:17:17.017127700 ( Accessed: 2018-12-07 18:39:58.132325900 ( $FILE_NAME Attribute Values: Flags: Archive, Compressed Name: chick.txt Parent MFT Entry: 12789 Sequence: 108 Allocated Size: 0 Actual Size: 0 Created: 2018-12-07 18:39:58.132325900 ( File Modified: 2018-12-07 18:39:58.132325900 ( MFT Modified: 2018-12-07 18:39:58.132325900 ( Accessed: 2018-12-07 18:39:58.132325900 ( Attributes: Type: $STANDARD_INFORMATION (16-0) Name: N/A Resident size: 72 Type: $FILE_NAME (48-2) Name: N/A Resident size: 84 Type: $DATA (128-1) Name: N/A Resident size: 0
SI属性の作成時間とアクセス時間、FN属性の全てのタイムスタンプが更新されました。
ファイル作成後にreadonly属性を付与し、ファイルコピーを行った場合
ファイルchick_read.txtをfsutilコマンドで作成し、istatコマンドでタイムスタンプを確認します。
chick_read.txt作成時(Read Only属性付与)
>istat \\.\C: 253067-128-1 MFT Entry Header Values: Entry: 253067 Sequence: 528 $LogFile Sequence Number: 94290792766 Allocated File Links: 2 $STANDARD_INFORMATION Attribute Values: Flags: Read Only, Archive, Compressed Owner ID: 0 Security ID: 5437 (S-1-5-32-544) Last User Journal Update Sequence Number: 19757515912 Created: 2018-12-07 18:46:19.461137100 ( File Modified: 2018-12-07 18:46:19.461137100 ( MFT Modified: 2018-12-07 18:54:12.373175600 ( Accessed: 2018-12-07 18:46:19.461137100 ( $FILE_NAME Attribute Values: Flags: Archive, Compressed Name: CHICK_~1.TXT Parent MFT Entry: 53781 Sequence: 11 Allocated Size: 0 Actual Size: 0 Created: 2018-12-07 18:46:19.461137100 ( File Modified: 2018-12-07 18:46:19.461137100 ( MFT Modified: 2018-12-07 18:46:19.461137100 ( Accessed: 2018-12-07 18:46:19.461137100 ( $FILE_NAME Attribute Values: Flags: Archive, Compressed Name: chick_read.txt Parent MFT Entry: 53781 Sequence: 11 Allocated Size: 0 Actual Size: 0 Created: 2018-12-07 18:46:19.461137100 ( File Modified: 2018-12-07 18:46:19.461137100 ( MFT Modified: 2018-12-07 18:46:19.461137100 ( Accessed: 2018-12-07 18:46:19.461137100 ( Attributes: Type: $STANDARD_INFORMATION (16-0) Name: N/A Resident size: 72 Type: $FILE_NAME (48-3) Name: N/A Resident size: 90 Type: $FILE_NAME (48-2) Name: N/A Resident size: 94 Type: $DATA (128-1) Name: N/A Resident size: 0
その後、copyコマンドでファイルをコピーします。
chick_read.txtコピー後(Read Only属性付与)
>istat \\.\C: 126375-128-1 MFT Entry Header Values: Entry: 126375 Sequence: 55 $LogFile Sequence Number: 94290826738 Allocated File Links: 2 $STANDARD_INFORMATION Attribute Values: Flags: Archive, Compressed Owner ID: 0 Security ID: 5437 (S-1-5-32-544) Last User Journal Update Sequence Number: 19757532304 Created: 2018-12-07 18:54:49.783542600 ( File Modified: 2018-12-07 18:46:19.461137100 ( MFT Modified: 2018-12-07 18:54:49.783542600 ( Accessed: 2018-12-07 18:54:49.783542600 ( $FILE_NAME Attribute Values: Flags: Read Only, Archive, Compressed Name: CHICK_~1.TXT Parent MFT Entry: 12789 Sequence: 108 Allocated Size: 0 Actual Size: 0 Created: 2018-12-07 18:54:49.783542600 ( File Modified: 2018-12-07 18:54:49.783542600 ( MFT Modified: 2018-12-07 18:54:49.783542600 ( Accessed: 2018-12-07 18:54:49.783542600 ( $FILE_NAME Attribute Values: Flags: Read Only, Archive, Compressed Name: chick_read.txt Parent MFT Entry: 12789 Sequence: 108 Allocated Size: 0 Actual Size: 0 Created: 2018-12-07 18:54:49.783542600 ( File Modified: 2018-12-07 18:54:49.783542600 ( MFT Modified: 2018-12-07 18:54:49.783542600 ( Accessed: 2018-12-07 18:54:49.783542600 ( Attributes: Type: $STANDARD_INFORMATION (16-0) Name: N/A Resident size: 72 Type: $FILE_NAME (48-3) Name: N/A Resident size: 90 Type: $FILE_NAME (48-2) Name: N/A Resident size: 94 Type: $DATA (128-1) Name: N/A Resident size: 0
結果
SI属性のMFT Modifiedが更新されました!
chick_read.txtのSI属性に付与されていたRead Only属性が無くなったことによって、属性の値が更新されてMFT Modifiedが最新の時間に更新されたと考えられます。
FN属性はもともとコピーをすることによってすべて最新の時間になるのでタイムスタンプの動きに影響を与えたわけではないのかもしれませんが、FN属性にRead Only属性が付与されました。
さいごに
SI属性がSI属性からFN属性にコピーされることもあるんですね。面白いです。
この検証で気になることが増えたので、もっと書いていこうと思います。
注意
今回の記事は、ファイルコピーにcopyコマンドを使用した場合の結果です。
エクスプローラー上でファイルコピーを行った場合はSI属性のRead Only属性は引き継がれ、SI属性のMFT Modifiedの更新は起こりません。
