アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

NTFSスパースファイル関連

NTFS スパースファイルですが、詳細に説明している資料でよさそうなのがすには見当たりませんね。File System Forensic Analysis 本では P284 Sparse Attributes で解説されています。もはや一般書店では入手困難な*1 Inside Windows NTファイルシステム本では、P80 6.1 疎ファイルの圧縮、で解説されていますが、リソースキットとかでも書かれているんではないかと思われ。

New Capabilities and Features of the NTFS 3.0 File System
http://support.microsoft.com/kb/253845/en-us

NTFS 5.0 ファイル システムの新しい機能
http://support.microsoft.com/kb/183090/ja

NTFS (NT filesystem)
http://www.atmarkit.co.jp/icd/root/13/14575813.html

NTFS Sparse Files (NTFS5 only)
http://www.ntfs.com/ntfs-sparse.htm

確か Fsutil コマンドでスパースの処理ができた気がしたんですが、この辺りですかね。

Fsutil sparse
http://technet.microsoft.com/en-us/library/cc788025(WS.10).aspx

コマンドで可能なオプション
fsutil sparse
---- サポートされる SPARSE コマンド ----

setflag         スパースに設定
queryflag       スパースの照会
queryrange      範囲の照会
setrange        スパース範囲の設定

Data Run で制御しているみたいですので、FNG06 では実際にファイル作ったりしながら、MFT レコード眺めてみたり動作確認するというところでしょうかね。

*1:とか書いたらAmazonで中古でありますね、まぁ今から買うのはリソースキットにするほうがいいと思いますが、コレクションしたい人向け?