@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

2009-08-25から1日間の記事一覧

次回FNG02は9月5日予定

次回の FNG02 は 9月5日のまたもや土曜日8時〜12時辺りでの開催予定です。テーマは「Registory-1」ということでレジストリになります。Windows 7 のレジストリ*1とかちょっと眺めてみようかなぁと思っていますが、あわせて RegRipper のマルチバイト対応とか…

フォルダのエントリ

従来「.」と「..」のパターン検索を行うことで、FATのフォルダエントリを探したりできましたが、exFATではフォルダ内のディレクトリエントリとして「.」と「..」がなく、直接 0x85 などのレコードが記録されています。ということで、Recover Folders...が使…

exFATの削除エントリ

exFATではファイルが削除されると、ディレクトリエントリの先頭にあるタイプを示すバイトの最上位ビットがゼロクリアされるということです。ファイルが削除されたディレクトリエントリでは下記のようにディレクトリエントリの先頭バイトの最上位ビットがゼロ…

exFATディレクトリエントリ

exFATのディレクトリエントリは、1レコード16バイト長、先頭バイトの値でタイプが示されており、一般的なファイルなどは、それぞれ 85, C0, C1 というタイプの順序で並ぶということみたいですね。 例えばこれはDesert.jpgというファイルのexFATにおけるディ…