アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

FNG07の開催日

とりあえずのメモ

Windows 7上ではシャドウエクスプローラー(Shadow Explorer)が動作しないので、単に手元の Windows 7 が腐っているだけのようで、VMware上の Windows 7 では問題なく動いているみたいなので、やはり昨日発覚したエラーが原因か。Windows Vista 環境において、Windows 7 のスナップショットを認識させることができれば、シャドウエクスプローラーから中身見れる?か実験してみる。

詳細はあとからのメモ。
レジストリキーにFNGを書き込んでからスナップショットを作成し、キーを削除した場合でも以前のバージョンからレジストリにアクセスすればFNGキーの存在を確認できる。HELPに書いてある保護されないシステムファイルというのがちょっとわからないので、もう少し実験してみる必要がありそう。保護されないとなっている領域にファイルを作成してみたりすればいいのかな?イベントログとかも以前のバージョンでのアクセスが可能か確認してみたい。

スナップショットのファイルサイズ以上に変化が発生した場合に、既存のスナップショットファイルで保護されているファイルに影響がでるのか、それとも溢れた分は捨てられるのか?実験が必要そう。