過去を掘り起こす:Ext4とXFSのジャーナルからファイル操作履歴を再構築
DAY 2
14:00-
14:40
デジタルフォレンジックにおいて、ファイルシステムのタイムライン構築は極めて重要です。しかし、従来のフォレンジック手法はディスクイメージ取得時のMACBタイムスタンプに依存しており、これらは最近の状態に限られ、タイムスタンピングに対して脆弱であるため、重要な活動が見過ごされる可能性があります。
Ext4とXFSは、システムクラッシュから保護するためにジャーナリングを使用しています。これらのジャーナルは、低レベルの操作を記録しており、デコードすれば、変更しやすい標準的なメタデータに依存せずに、過去のファイル活動の時系列の痕跡を提供できます。
オープンな仕様にもかかわらず、ext4およびXFSジャーナルを分析するための実用的なフォレンジックツールが不足していました。この講演では、ext4およびXFSジャーナルからファイル活動を抽出するために設計された新しいオープンソースツールであるFJTA(Forensic Journal Timeline Analyzer)を紹介します。ジャーナルの構造を説明し、ファイル操作がどのように再構築できるかを示し、タイムスタンプが信頼できない場合にこの手法が従来のフォレンジック証拠をどのように補完できるかの例を紹介します。
-
Location :
-
Track 3(Room 3)
-
-
Category :
-
Bluebox
-
-
Share :
Speakers
-
Minoru Kobayashi
小林 稔
小林 稔は、株式会社インターネットイニシアティブ(IIJ)のフォレンジック調査員兼CSIRTメンバーです。主な研究分野は、Windows、macOS、Linuxのデジタルフォレンジックです。Black Hat USA 2018 Briefings、FIRST Technical Colloquium、JSAC(2018、2020、2022)などのカンファレンスで研究成果を発表しています。また、2017年から2019年にかけては、セキュリティキャンプ全国大会(日本)の講師を務めました。