アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

exFATの初期化サイズの取り扱い

FNG06 で exFAT の初期化サイズについても実験していたのですが、その後ちょっと確認してみた内容のメモ。
exFAT構造解析を参照しながら、exFAT の C0 レコードの状態を確認すると、ファイルサイズが2箇所、FileSize1とFileSize2に保存されていることが確認できます。

exFAT 構造解析
http://homepage3.nifty.com/k-takata/diary/exFAT.txt

ファイルサイズ1はタイプ C0 レコードのオフセット 8、ファイルサイズ2はオフセット 24 の位置に記録されています。通常はどちらも同じ値が設定されているということで、EnCase 上から確認しても基本的には同じ値になっています。
FSUTIL は NTFS ボリュームを対象にしているため、実際に OS 上から exFAT に対して Initialized Size を設定することが可能なのか不明ですが、EnCase 6.14.3 からは Initialized Size 表示が可能になっています。

EnCase上では、例えばファイルサイズ1が1,000byte、ファイルサイズ2が500byteの場合、ファイルサイズは Initialized Size、Logical Size 共に 1,000 byte を表示します。
ファイルサイズ1が 500byte、ファイルサイズ2が 1,000byteの場合、Initialized Sizeが500byte、Logical Sizeが 1000byteとなり、500byte以降は UnInitialized として既定では青色で表示します。
ということで、どうやら EnCase 6.14.3 における exFAT の Initialized Size の扱いとしては、ファイルサイズ1が初期化サイズで、ファイルサイズ2が論理サイズという表示になっているようです。
これも後から FAQ(ForensicsAQ) に登録しておきます。