Forensic Focus を眺めていたら、興味深い画像のリカバリツールが紹介されていました。未使用領域などでフラグメントされている画像でもリカバリするための専用ツールみたいです。

Adroit Photo Forensics for Forensics Professionals
http://digital-assembly.com/products/adroit-photo-forensics/

トライアル版がダウンロードできるので、昨日ボツネタになった VSS のスナップショットファイルに対してJPEG画像ファイルのリカバリをテストしてみました。昨日作ったスナップショットファイルの中には、JPEG画像データが保存されていますが、データブロックが連続しておらずフラグメントした状態で入っています。JPEG ヘッダパターンなどを使った単純な検索を実施する方法だと以下のように完全には画像が復元できず、画像の半分くらいがグレー表示になります。

このデータを Adroit Photo Forensics を使ってリカバリさせてみると、見事に！フラグメント状態にある画像データを1枚のJPEG画像として表示してくれました。データブロックの位置も以下のような形でレポートしてくれるので、どこに画像データの残り部分が存在しているのかも確認することができます。*1（選択したブロック毎に、そのブロックのデータだけで画像を表示することも可能）

Starting Block: 14280
Block Count: 517 (2 fragments)
Block Ranges:
14280 - 14527
14560 - 14828

今回はかなり簡単なテストしかやっていませんが、これは中々興味深いツールですね。
Disk Image としては RAW、DD、EnCase などに対応しているみたいですが、今回は RAW か BIN での扱いだと思います。日本語を含むファイルパスを指定するとエラーメッセージが表示されましたけど...