前回 exFAT をテーマにした時には、フォレンジック系のツールで対応しているものが少なく、とりあえずバイナリエディタを利用してファイルシステムを追いかけたのですが、流石にちょっと大変だったわけです。当時はEnCaseもexFATに対応しておらず、現時点でも exFAT に対応しているフォレンジックツールは少ないです。オープンソースのTSKとかもまだ未対応状態ですので、exFAT がお相手として出てくるとフリーなものだけで何かとやるのは大変そうです。
EnCase ではバージョン 6.14 以降から exFAT がサポートされるようになっていますので、今回の FNG では 6.14.1 という最新版でのチャレンジとなります。手元では全然テストできていなかったので、まずは Windows 7 をインストールし、USB メモリ 2GB の領域を exFAT でフォーマットしたものを用意してのチャレンジとなりました。