正解は CP 51932。 IE のエンコード 日本語(EUC) では 51932 が利用されている。

strings コマンドがセクタを跨って文字列を抽出する場合、それらのセクタがひとつのファイルへ割り当てられた領域であれば問題ありません。この図では、ファイルに対して1クラスタ（2セクタ）*1が割り当てられており、セクタを跨って『TEST』という文字列が…

別に戦う必要はないわけですが、ローマ数字の１(小）は異なるようですね。 20932 \xF3\x21 51932 \xFC\xF1 まぁ、この文字が一般的に使われているか？っていうと謎ですが。

umq さんからのお手紙に今頃気がつく。ありがとうごぜぇますだm(_ _)m さっそく変換だぁ！ 『〜』を convert させると 20932 では16進が表示されないのは存在しないからでつか？ あわせて以下参照。 NLS って難しい(9) http://slashdot.jp/journal.pl?op=dis…

CP 20932 は以下のコードページの集合セット。 50220 ISO 2022 Japanese with no halfwidth Katakana 50221 ISO 2022 Japanese with halfwidth Katakana 50222 ISO 2022 Japanese JIS X 0201-1989 CP20932 は MS 版“日本語EUC”ではない。 EnCase でこのコー…

ファイル（データ）が連続したセクタへ記録されていない場合、文字列が抽出されないケースがあります。スライドの図では、ファイルに含まれるデータとして『TEST』が存在していますが、クラスタが連続していないため、strings コマンドは『TE』と『ST』とい…

未使用領域に限ったお話ではありませんが、セクタを跨って“たまたま”文字列が構成されてしまうケースもあります。*1 この図では、Slack space の最後に『TE』という文字列が存在しています。次のセクタの先頭が『ST』という文字列だった場合、『TEST』という…

まだ Web の表示を更新していませんが、文字列抽出に関する簡単な PPT 資料を一本追加。 Autopsy の HELP にある『grep Search Limitations』を参考に図にしただけです。 http://www.port139.co.jp/forensics/dd-strings.ppt dd コマンドで作成したファイル…

yoggy さんの罠*1にはまり朝から遊んでしまう＿|￣|○ 面白い！ってそいうことではなくて・・・ *1:http://www12.plala.or.jp/nextframe/flash/bs.html