試しに Diskeeper でデフラグをかけてから*1イメージを作成し foremost を実行してみる。 Num Name (bs=512) Size File Offset Comment 0: 1931.jpg 60 KB 988697 1: 3761.jpg 27 KB 1925657 2: 2196.doc 129 KB 1124352 3: 3760.ppt 66 KB 1925120 usb6.dd:…

リカバリされたファイルは、エクステンション（例：jpg や doc ）毎に output 配下にフォルダが作成され出力されます。ビルトインと設定ファイルの両方で同一のエクステンションを有効にした場合、同一のブロックを検出する場合がありますが、後から検出され…

OLE オブジェクトとして JPEG を埋め込んでいる場合、foremost のビルトインでリカバリすると手元では結構落としますね〜。テスト用イメージなのでフラグメントが酷いとかいう状況ではないんだけどなぁorz

foremost のビルトイン（-t オプション)で ole を指定した場合、OLE 構造を持つファイルを解析するみたいですね。ただ、OLE 構造のパターンに何を使っているのかよくわかっていなかったり... man によると、-t doc を指定するより、-t ole を指定したほうが…

IETrace http://ietrace.jumpersoftware.com/index.htm Data Hiding on NT/2K http://www.blackhat.com/presentations/win-usa-04/bh-win-04-carvey.ppt Embed and Executable in an excel doc http://nakedcrew.net/tutorials/embed.php

これもURLをとりあえずメモ。 LAOLA file system "Structured Storage" The binary structure of Ole / Compound Documents http://user.cs.tu-berlin.de/~schwartz/pmh/guide.html

とりあえず URL をメモ。 Vogon OLE viewer (VOLE) http://www.vogon-international.com/vision-15/forensic-software.htm