アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

MFTレコードのスラック削除

Windows 7 でゴミ箱を空にするか、ゴミ箱内のファイルを削除した場合、MFTレコードのスラック領域がゼロで上書きされるようです。先ほどの Jellyfish.jpg 画像をゴミ箱に移動した段階では、MFTレコードのスラック領域に長いファイル名の痕跡が残っていましたが、ゴミ箱からファイルを削除すると以下のようにゼロで上書きされた状態になっています。*1

                3000000078000000 ........0...x...
00000000000004005A00000018000100 ........Z.......
2E000000000001003897E481A73DCA01 ........8嶺〒=ハ.
421CCEE13E04CA01EC5BE981A73DCA01 B.ホ.>.ハ.・驕ァ=ハ.
3897E481A73DCA0100E00B0000000000 8嶺〒=ハ.........
16D60B00000000002000000000000000 .ヨ.............
0C03240052003700580051004B004B00 ..$.R.7.X.Q.K.K.
42002E006A0070006700670000000000 B...j.p.g.g.....
80000000480000000100000000000100 ....H...........
0000000000000000BD00000000000000 ........ス.......
400000000000000000E00B0000000000 @...............
16D60B000000000016D60B0000000000 .ヨ.......ヨ......
22BE00D307000000FFFFFFFF82794711 "セ.モ........ZG.
00000000000000000000000000000000 ................
00000000000000000000000000000000 ................
00000000000000000000000000000000 ................
00000000000000000000000000000000 ................
00000000000000000000000000000000 ................
00000000000000000000000000000000 ................
00000000000000000000000000000000 ................

FNG03 の最中に確認した範囲では、Windows XP Sp3 では少なくともファイルを削除しても、MFTレコードのスラックがゼロで上書きされるという現象は確認できませんでした。また Windows Vista Sp1 も XP と同じ動作のようで、どうも Vista Sp2 以降に MFT レコードのスラック領域がゼロ上書きされる様子です。レコードを削除するのではなくスラックのみゼロ上書きするのは何故かわかりませんが興味深い動作ですね。

*1:ゴミ箱から削除するという動作に依存するわけではなく、ゴミ箱を経由しないで直接削除した場合でも同じ現象になります