ひよこメモ

自分が調べたこととか試したこととか書いていきます

NTFSのトンネリングとFileDownload(2)

はじめに

こんにちは、iria_piyo🐣です。 以前、ChromeでFile Downloadををおこなった時のファイルシステムのトンネリング*1について、検証を行いました。今回は、PowerShellwgetでFile Downloadをおこなった時のファイルシステムのトンネリングについて検証しました。

iria-piyo.hatenablog.com

タイムスタンプの確認に使用したツールは、The Sleuth Kitです。

環境

Windows10 バージョン1903

検証内容

ファイル「fradance.png」をwget(PowerShell)でダウンロードし、削除する。その後、再び「fradance.png」をダウンロードすると、どのように作成時間が引き継がれるのか検証する。

fradance.pngダウンロード(一回目)

PS C:\> istat \\.\C: 52387-128-3
MFT Entry Header Values:
Entry: 52387        Sequence: 32
$LogFile Sequence Number: 133447904983
Allocated File
Links: 1

$STANDARD_INFORMATION Attribute Values:
Flags: Archive
Owner ID: 0
Security ID: 6172  (S-1-5-32-544)
Last User Journal Update Sequence Number: 2104346248
Created:        2019-07-31 16:44:38.607638500 (  
File Modified:   2019-07-31 16:44:40.013233600 (  
MFT Modified:  2019-07-31 16:44:40.013233600 (  
Accessed:        2019-07-31 16:44:40.013233600 (
$FILE_NAME Attribute Values:
Flags: Archive
Name: fradance.png
Parent MFT Entry: 48437         Sequence: 101
Allocated Size: 0       Actual Size: 0
Created:        2019-07-31 16:44:38.607638500 (  
File Modified:   2019-07-31 16:44:38.607638500 (  
MFT Modified:  2019-07-31 16:44:38.607638500 (  
Accessed:        2019-07-31 16:44:38.607638500 (

Attributes:
Type: $STANDARD_INFORMATION (16-0)   Name: N/A   Resident   size: 72
Type: $FILE_NAME (48-2)   Name: N/A   Resident   size: 90
Type: $DATA (128-3)   Name: N/A   Non-Resident   size: 1523703  init_size: 1523703
227863 260212 260213 260214 260215 260216 260217 260218
421908 421909 421910 421911 421912 421913 421914 421915
421916 421917 421918 421919 23771071 23771072 23771073 23771074
23771075 23771076 23771077 23771078 23771079 23771080 23771081 23771082
23771083 23771084 23771085 23771086 23771087 23771088 23771089 23771090
23771091 23771092 23771093 23771094 23771095 23771096 23771097 23771098
23771099 23771100 23771101 23771102 5276640 5276641 5276642 5276643
5276644 5276645 5276646 5276647 5276648 5276649 5276650 5276651
5276652 5276653 5276654 5276655 5276656 5276657 5276658 5276659
5276660 5276661 5276662 5276663 5276664 5276665 5276666 5276667
5276668 5276669 5276670 5276671 5276672 5276673 5276674 5276675
5276676 5276677 5276678 5276679 5276680 5276681 5276682 5276683
5276684 5276685 5276686 5276687 5276688 5276689 5276690 5276691
5276692 5276693 5276694 5276695 5276696 5276697 5276698 5276699
5276700 5276701 9641272 9641273 9641274 9641275 9641276 9641277
9641278 9641279 9641280 9641281 9641282 9641283 9641284 9641285
9641286 9641287 9641288 9641289 9641290 9641291 9641292 9641293
9641294 9641295 9641296 9641297 9641298 9641299 9641300 9641301
9641302 9641303 9641304 9641305 9641306 9641307 9641308 9641309
9641310 9641311 9641312 9641313 9641314 9641315 9641316 9641317
9641318 9641319 27322377 27322378 27322379 27322380 27322381 27322382
27322383 27322384 27322385 27322386 27322387 27322388 27322389 27322390
27322391 27322392 27322393 27322394 27322395 27322396 27322397 27322398
27322399 27322400 27322401 27322402 27322403 27322404 27322405 27322406
27322407 27322408 27322409 27322410 27322411 27322412 27322413 27322414
27322415 27322416 27322417 27322418 27322419 27322420 27322421 27322422
27322423 27322424 27322425 27322426 27322427 27322428 27322429 27322430
27322431 27322432 27322433 27322434 39792503 39792504 39792505 39792506
39792507 39792508 39792509 39792510 39792511 39792512 39792513 39792514
39792515 39792516 39792517 39792518 39792519 39792520 39792521 39792522
39792523 39792524 39792525 39792526 39792527 39792528 39792529 39792530
39792531 39792532 39792533 39792534 39792535 39792536 39792537 39792538
39792539 39792540 39792541 39792542 39792543 39792544 39792545 39792546
39792547 39792548 39792549 39792550 39792551 39792552 39792553 39792554
39792555 39792556 39792557 39792558 39792559 39792560 16130813 16130814
16130815 16130816 16130817 16130818 16130819 16130820 16130821 16130822
16130823 16130824 16130825 16130826 16130827 16130828 16130829 16130830
16130831 16130832 16130833 16130834 16130835 16130836 16130837 16130838
16130839 16130840 16130841 16130842 16130843 16130844 16130845 16130846
16130847 16130848 16130849 16130850 16130851 16130852 16130853 16130854
16130855 16130856 16130857 16130858 16130859 16130860 16130861 16130862
16130863 16130864 16130865 16130866 16130867 16130868 16130869 16130870
16130871 16130872 16130873 16130874 16130875 16130876 16130877 16130878
16130879 16130880 16130881 4654932 4654933 4654934 4654935 4654936
4654937 4654938 4654939 4654940 4654941 4654942 4654943 4654944
4654945 4654946 4654947 4654948 4654949 4654950 4654951 4654952
17102224 17102225 17102226 17102227

delコマンドでファイルを削除し、15秒以内にwgetコマンドでファイルを再ダウンロードします。

PS C:\> del C:\TEST\fradance.png
PS C:\> wget https://hiyokoyarou.com/wp-content/uploads/2019/07/fradance.png -O \TEST\fradance.png

fradance.png再ダウンロード

PS C:\> istat \\.\C: 52387-128-3
MFT Entry Header Values:
Entry: 52387        Sequence: 33
$LogFile Sequence Number: 133449232425
Allocated File
Links: 1

$STANDARD_INFORMATION Attribute Values:
Flags: Archive
Owner ID: 0
Security ID: 6172  (S-1-5-32-544)
Last User Journal Update Sequence Number: 2104580208
Created:        2019-07-31 16:44:38.607638500 (  
File Modified:   2019-07-31 17:03:28.941222300 (  
MFT Modified:    2019-07-31 17:03:28.941222300 (  
Accessed:        2019-07-31 17:03:28.941222300 (

$FILE_NAME Attribute Values:
Flags: Archive
Name: fradance.png
Parent MFT Entry: 48437         Sequence: 101
Allocated Size: 0       Actual Size: 0
Created:        2019-07-31 16:44:38.607638500 (  
File Modified:   2019-07-31 17:03:27.323339600 (  
MFT Modified:    2019-07-31 17:03:27.323339600 (  
Accessed:        2019-07-31 17:03:27.323339600 (

Attributes:
Type: $STANDARD_INFORMATION (16-0)   Name: N/A   Resident   size: 72
Type: $FILE_NAME (48-2)   Name: N/A   Resident   size: 90
Type: $DATA (128-3)   Name: N/A   Non-Resident   size: 1523703  init_size: 1523703
869112 864260 864261 864262 864263 864264 864265 864266
854128 854129 854130 854131 854132 854133 854134 854135
854136 854137 854138 854139 27322499 27322500 27322501 27322502
27322503 27322504 27322505 27322506 27322507 27322508 27322509 27322510
27322511 27322512 27322513 27322514 27322515 27322516 27322517 27322518
27322519 27322520 27322521 27322522 27322523 27322524 27322525 27322526
27322527 27322528 27322529 27322530 17823956 17823957 17823958 17823959
17823960 17823961 17823962 17823963 17823964 17823965 17823966 17823967
17823968 17823969 17823970 17823971 17823972 17823973 17823974 17823975
17823976 17823977 17823978 17823979 17823980 17823981 17823982 17823983
17823984 17823985 17823986 17823987 17823988 17823989 17823990 17823991
17823992 17823993 17823994 17823995 17823996 17823997 17823998 17823999
17824000 17824001 17824002 17824003 17824004 17824005 17824006 17824007
17824008 17824009 17824010 17824011 17824012 17824013 17824014 17824015
15585657 15585658 15585659 15585660 15585661 15585662 15585663 15585664
15585665 15585666 15585667 15585668 15585669 15585670 15585671 15585672
15585673 15585674 15585675 15585676 15585677 15585678 15585679 15585680
15585681 15585682 15585683 15585684 15585685 15585686 15585687 15585688
15585689 15585690 15585691 15585692 15585693 15585694 15585695 15585696
15585697 15585698 15585699 15585700 15585701 15585702 15585703 15585704
15585705 50641429 50641430 50641431 50641432 50641433 50641434 50641435
50641436 50641437 50641438 50641439 50641440 50641441 50641442 50641443
50641444 50641445 50641446 50641447 50641448 50641449 50641450 50641451
50641452 50641453 50641454 50641455 50641456 50641457 50641458 50641459
50641460 50641461 50641462 50641463 50641464 50641465 50641466 50641467
50641468 50641469 50641470 50641471 50641472 50641473 50641474 50641475
50641476 50641477 50641478 50641479 50641480 50641481 50641482 50641483
50641484 50641485 50641486 50641487 50641488 50641489 50641490 50641491
50641492 50641493 50641494 50641495 50641496 50641497 50641498 50641499
50641500 50641501 50641502 50641503 50641504 50641505 50641506 50641507
50641508 50641509 50641510 50641511 50641512 50641513 50641514 50641515
50641516 50641517 50641518 50641519 50641520 50641521 50641522 50641523
50641524 50641525 50641526 50641527 50641528 50641529 50641530 50641531
50641532 50641533 50641534 50641535 50641536 50641537 50641538 51404313
51404314 51404315 51404316 51404317 51404318 51404319 51404320 51404321
51404322 51404323 51404324 51404325 51404326 51404327 51404328 51404329
4654953 4654954 4654955 4654956 4654957 4654958 4654959 4654960
4654961 4654962 4654963 4654964 4654965 4654966 4654967 4654968
4654969 4654970 4654971 4654972 4654973 4654974 4654975 4654976
4654977 4654978 4654979 4654980 4654981 4654982 4654983 4654984
4654985 4654986 4654987 4654988 4654989 4654990 4654991 4654992
4654993 4654994 4654995 4654996 4654997 4654998 4654999 4655000
4655001 4655002 4655003 4655004 4655005 4655006 4655007 4655008
4655009 4655010 5820290 5820291 5820292 5820293 5820294 5820295
5820296 5820297 5820298 5820299 5820300 5820301 5820302 5820303
5820304 5820305 5820306 5820307 5820308 5820309 5820310 5820311
5820312 5820313 5820314 5820315

最後に

前回のChromeを用いた検証では、トンネリングによって引き継がれた作成時間は$SIだけでした。今回のPowerShellwgetを用いた検証では、$FNの作成時間も引き継がれました。

注意

環境によっては、この記事とは異なる結果になる可能性があります。

*1:ファイルがディレクトリから削除またはリネームされると、SFN/LFNと作成時間が短時間(デフォルトで15秒間)キャッシュに保存されます。このキャッシュは、ディレクトリごとに分けられています。 削除されたファイル名がキーとなり、新しいファイルがディレクトリに追加されると、キャッシュを検索し、復元できる情報があるか確認されます。 ディレクトリが削除されてしまうと、そのディレクトリのキャッシュも削除されてしまいます。