アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

デフォルトのクラスタサイズ

id:ucq さんが、エクスプローラで表示されるディスク上のサイズについて調べているみたいですね。
実際の割り当て状況とかは DataRun で調べる必要がありそうですが、サイズゼロのスパースとかだと、構造がわかりにくいかもしれませんね、というか、バイナリエディタでは確認が厳しい気が(^^;;、dd との組み合わせなら The Sleuthkit とか、使ったことないけど ProDiscover の無償版とかあった気がします。

ディスク上のサイズについて
http://d.hatena.ne.jp/ucq/20091118/1258559187

デフォルトクラスタサイズはボリュームのサイズに依存ですかね。最近は 2GB を超えるボリュームが一般的でしょうから NTFS では 4,096バイト(8セクタ)という値になりがちですが、正確な情報はサポート技術情報に記載があります。

FAT および NTFS のデフォルトのクラスタ サイズ
http://support.microsoft.com/kb/140365/ja

まぁこいうのは実際にデータ見ながら確認していく必要があるんですが、FNG08 辺りのネタにしようかなぁ。ひたすら DataRun を追いかける会になるのかもしれませんが。