ddイメージを解析
Autopsy 2.05でddイメージを確認
r / r a.txt 2005.09.10 22:12:37 (JST) 2005.09.10 22:12:37 (JST) 2005.09.10 22:35:03 (JST) 7 0 0 36-128-3
r / r b.txt 2005.09.10 22:12:37 (JST) 2005.09.10 22:12:37 (JST) 2005.09.10 22:35:03 (JST) 7 0 0 36-128-3
r / r note.exe 2003.04.03 21:00:00 (JST) 2005.09.10 22:12:18 (JST) 2005.09.10 22:35:56 (JST) 66048 0 0 31-128-3
r / r NOTEPAD.EXE 2003.04.03 21:00:00 (JST) 2005.09.10 22:12:18 (JST) 2005.09.10 22:35:56 (JST) 66048 0 0 31-128-3
末尾の Meta 番号(MFTエントリ番号)が a.txt と b.txt 、notepad.exe と note.exe でいずれも一致していることが確認できます。
