アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

VHDディスクに移行された情報

さて、Disk2vhd で作成した .VHD ディスクを EnCase にドラッグアンドドロップで放り込んで*1、変換元のディスクとの差異を確認してみます。
変換元ボリュームには、幾つかの削除ファイルが存在している状態にしてありましたので、これがどうなったのか確認してみます。$MFT ファイルはそのまま移行されるので、VHD ボリューム上では、MFT レコード上のエントリとして幾つかの削除ファイルが確認できます。しかし、未使用領域は移行されていないため、削除ファイルのデータ内容を表示しようとしても 0x00 が表示されるだけになります。興味深いのは、変換元ボリューム上に存在していたスナップショットが全て削除された状態になっている点です。

試しに、変換作業の後から、変換元のボリュームで“以前のバージョン”を確認してみたところ、「利用可能な以前のバージョンはありません」というお言葉が表示されました。
Disk2vhdの実行時にスナップショットを作成する動作があるようなのですが、VHD ディスクの作成が完了した段階で、変換元のスナップショットを削除しているんでしょうか?逆に、変換先の VHD ディスクには約314MBのスナップショットが 2本作成された状態になっています。

結果的に作成された VHD ディスクのサイズが増えたのはこのスナップショットのサイズ分だと思われます。(ボリュームの中にあるファイル自体は1.2メガ程度しかない)
後から作成されたスナップショットは中身が 0x00 しかない状態なので、これの意味もよくわかりませんが、この移行された VHD ディスク上のスナップショットから“以前のバージョン”を復元できるのかは VHD ディスクをマウントできる環境が必要なので後回しということで。あれ?ひょっとして、VMwareって VHD 直接マウントとかできるんでしたっけ?流石に無理か?!

*1:twitterで呼ばれているような気がないでもなかったのですが、VHD ディスクも扱えますます>誰となく