アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

VSVとイニシャライズサイズ

この VSV ファイルですが、ファイル自体がすべて初期化して割り当てられているわけではなく、ファイルのサイズ分だけとりあえず(ホストOSであるWindows 7上の)ボリューム上で領域が確保され、使用領域だけは現在の XP Mode で利用されているデータが書き込まれる。イニシャライズされてないデータ領域については、ホスト OS である Windows 7 のボリューム上のデータがそのまま残っている状態となるみたいなので、XP Mode が起動中だったりする場合、そのまま VSV ファイル全体を XP Mode のメモリファイルとして扱うとデータ内容が混在することになる、ということだったですかね。
今回は道具が揃ってなかったので雑な検証でしたが、今回は未使用領域を FF で埋めておいてから、XP Mode を起動し、作成された VSV ファイルの内容に FF が含まれるかどうかを目視で確認していたのですが、FF だとメモリ内のデータなのか区別しにくいので、これは別途特殊なパターンを使った追加検証が必要そうです。
とはいえ、全体の流れからするとイニシャライズしてないデータ領域になるので、区別どうするのかとか考えないといけないですね。最初は適当に VSV ファイルで画像パターンの検索とかしてましたが、ヒットしてた画像が XP Mode の XP がメモリで扱っていたデータなのか、もともとホスト OS の Windows 7 上にあったものなのか。EnCaseは検索時にイニシャライズサイズだけを検索させることもできるので、その辺りも組み合わせて使うとかもありなのかもしれませんが、色々と検証しないといけなそうです。
あと、聞き逃してしまっていたのですが、ファイル作成時かの API でファイルサイズだけ設定するものがあるというお話なんでしたっけ?その API の詳細を調べたり動作確認することでもう少し詳しくわかるかもしれませんが、誰か解説お願いします(笑)