上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

郵便不正事件のFDタイムスタンプ改ざん・・・ド素人の悪業

 郵便不正事件のFDタイムスタンプ改ざん問題、簡単に検証してみた。

証拠物件のFDをそのままいじるってどういうことよ?
・フォレンジックで書き換え可能なメディア(HDD、FD、SDカードやUSBメモリ)を調査するときの基本は「1bitたりとも改変しちゃダメ!」。ディスクをマウントせずに、Rawデバイスとしてダンプしたデータを解析するのが基本。なぜならマウントしてしまうとOSやアプリが勝手にファイルにアクセスしてしまい、アクセス日時が変わってしまう。
・FDを直接扱うとしても、FDの「書き込み防止ツメ」を知らないのか、前田検事!

更新日時を2004年6月8日に変えたのは故意?過失?
 どうみても「故意」ですね。
更新日時を変えようとするのなら、
・パソコンの日付を「2004/6/8」に変更して、ファイルを上書き保存
・タイムスタンプ改変ツールで変更する
ぐらいの方法しか思いつかない。「操作間違っちゃいました、ごめんなさい」と言うレベルではない。Windows標準の状態では、まず不可能。コマンドラインでも無理。悪意を持って作業しない限りこんなことは起きない。タイムスタンプ改変ツールはどこにでも転がっているので素人でも作業できる。しかし、捜査でタイムスタンプの改変が必要になることは絶対にない。


結論。「絶対故意だ!」

言い訳するなら「操作間違って消しちゃいました」の方が無理がない。

コメントの投稿

非公開コメント


カテゴリ


最新記事

月別アーカイブ

最新コメント

最新トラックバック









上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。