FNG では参加者各自で解析を進めていったりするので、特定の人のPCだけプロジェクタに表示していると不便だったりします。 プロジェクタで表示している画面を、別の人のPC画面に切り替える時に、毎回わざわざ VGA ケーブルを繋ぎ変えているんですが結構面倒…

確か AVtokyo と日程が重なっている10月31日(土)の予定です。といっても午前中だし、個人的には参加できずに悲しいのでこのままの日程で実施する予定です（ぉぃ 聞きてぇフォレンジックのセッションとかがあるんだよぉーでも行けねぇ。。。orzFNG05 は予定し…

今回実験したボリュームはあまりデータもない領域なので、システム領域などではまた違うかもしれませんが、差分生成についても興味深いです。 シャドウコピー１が約300メガ程度ある状態で、新たにシャドウコピーを作成すると、シャドウコピー１のサイズが 25…

EnCase の PDE*1 や VDK などを使って、スナップショットが含まれるボリュームのイメージをマウントすれば、もろもろのツールが使えるのではないか？という安易な考えでいたのですがこれは駄目みたいですね。 とりあえず、VMware 上の Windows 7 のゲスト OS…

VMware 上に Windows 7 を用意して、追加の仮想ディスク上で VSS の動作を試そうと考えていたのですが、まずここでボリュームサイズによっては保護設定の対象ボリュームとして表示されないという点で躓きました。最初は小さいボリュームが欲しかったのでサイ…

今回は ボリューム シャドウ コピー サービス(Volume shadow copy service)を参加者の皆さんと共に、アーデモナイコーデモナイをやっていたのですが、下調べが不十分だったこともあり面白かったです（笑） 進行中のまとめなどは、下記で id:yumano さんがま…