今回は“あおり”と書いてあるわりに、三輪さんにしてはおとなしめの内容だと思ってしまった自分は、すでに感覚が麻痺しているんでしょうかね。 第11回 犯罪者の「否認」に対応するには http://www.atmarkit.co.jp/fsecurity/rensai/talk11/talk01.html ログと…

で、昨日のお話の中に出ていたフラグですが、この辺りですかね。 Disk Scan for deleted entries http://www.ntfs.com/disk-scan.htm もう少し詳細なフラグの情報は、NTFS Documentation の P90 Table 4.22. File record flags とかに記載されていますが、FI…

テスト用の NTFS パーティション（8M）を作成し、dd コマンドで RAW イメージを作成し、中身を編集します。クラスターの割り当て状況は $Bitmap ファイルで管理されてますので、$Bitmap ファイルが利用しているセクタ位置を EnCase で確認しておき、バイナリ…

すでに夕方 5時ともなれば、体力・集中力ともに切れているので、発言がますます適当だという噂がありますが、NTFS におけるロストクラスターの扱いと、NTFS における MFT レコードの変化について話題になっていたので、後から確認しておこう。 というか、NTF…