次のエビデンスは、インシデントレスポンスのエビデンス収集プレイブック、エビデンスの収集タスク、およびトレンドマイクロ Incident Responseツールキット[ファイルのタイムライン] カテゴリの [ファイル]エビデンスの種類に含まれています。
|
エビデンスデータ
|
説明
|
|
作成時刻 ($FN)
|
新しいNTFSシステムに基づくファイルの作成日時 |
|
パス
|
ファイルの絶対パス
|
|
変更時刻 ($FN)
|
新しいNTFSシステムに基づくファイルの最終変更日時
|
|
アクセス時間 ($FN)
|
新しいNTFSシステムに基づくファイルの最終アクセス日時
|
|
記録時間 ($FN)
|
新しいNTFSシステムに応じてファイルのステータスが最後に変更された日時
|
|
ディレクトリ
|
ファイルが置かれているディレクトリ
|
|
ファイル名
|
ファイルパスの名前部分
|
|
Inode
|
ファイルシステムインデックスノードの数
|
| ファイルID |
ファイルのID値
|
|
UID
|
ファイルの所有者のユーザID
|
|
属性
|
ファイルの属性を定義する文字列
|
|
シンボリックリンク
|
ファイルパスがシンボリックリンクであるかどうかの表示
|
|
種類
|
ファイルの現在のステータス
|
|
作成時刻 ($STD)
|
古いNTFSシステムに基づくファイルの作成日時
|
|
書き込み時間 ($STD)
|
古いNTFSシステムに基づくファイルの最終変更日時 |
|
アクセス時間 ($STD)
|
以前のNTFSシステムに基づくファイルの最終アクセス日時
|
|
記録時間 ($STD)
|
古いNTFSシステムに基づいてファイルのステータスが最後に変更された日時
|
|
ハードリンク
|
ファイルへのハードリンクの数
|
|
ファイルのバージョン
|
ファイルの現在のバージョン
|
|
サイズ
|
ファイルのサイズ (バイト) |