NTFSファイルシステムでファイルがいつ削除されたかを知る方法は?
NTFSファイルシステムのファイルがいつ削除されたかを知ることはできますか?たとえば、ごみ箱にファイルがある場合、メタデータファイルがあります。ファイルがごみ箱に送信されたときに格納されます。ただし、ファイルがごみ箱に入ったことがない場合、またはごみ箱が空になった場合、ファイルの削除のタイムスタンプをどのようにして知ることができますか?
正確な日時を知ることはできませんでしたが、日付間隔を設定することは可能ですか?
編集:私はファイルの削除を監視するためにインストールまたは設定できる複数のソリューションが存在することを知っていますが、HDを受け取ってそれをフォレンジック分析しなければならない場合について話しています。その場合、おそらくデフォルトでインストールされているものだけを使用することになります。
法医学では常に正確な答えを得ることができません。時々結果は可能性の時間範囲です。とはいえ、時々正確な答えを得ることができます。
シナリオでは、このボリュームの作成と維持に使用されたWindowsのバージョンによって異なります。
NTFSは、ボリュームのルートにある$LogFileという名前のファイルで、長い間ジャーナリング(短期間のロギング)をサポートしてきました。回復メカニズムとして設計されているため、ここには大量のレコードはありませんが、削除アクション後の一定時間内にディスクを取得すると、そこにディスクが見つかる可能性があります。フォレンジックツール(EnCaseなど)の多くは、このログを解析できますが、詳細はこちらのオープンソースツールをご覧ください。
https://code.google.com/p/mft2csv/wiki/LogFileParser
Vistaまたはそれ以降のシステムを調査している場合は、ディスク上で実行中のログが長くなっていることがあります。このログは以前のバージョンのNTFSの機能でしたが、Vistaまではデフォルトで有効にされていませんでした。このファイルは$UsnJrnlと呼ばれ、$Extendというフォルダーにあります。このファイルは、ファイルに発生するすべてのアクション(名前の変更、移動、作成、削除など)をログに記録します。ここでも、フォレンジックツールの多くがこれを解析しますが、ここに使用するためのオープンソースリンクがあります。
コンピューターのイベントで確認できます。グループポリシーで監査機能をオンにする必要があります。
これは私がやっていたことです。
- 私は企業ネットワークを持っていて、ワークステーションはドメインコントローラー(サーバー2008)に接続されていました。
- ユーザーがアクセスできるファイルサーバーがありました(これも同じドメインに接続されていました)。
- そのファイルサーバーのローカルグループポリシーで(ユーザーがアクセスできた)特定の共有フォルダーの監査ログをオンにしました。
- その後、コンピューターのイベントコードを確認することで、各ユーザーがファイル操作を行っているのを確認できました。