@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

スナップショットの容量

1.2GB の仮想ディスクを VMware 環境下にある Windows 7 に追加して、NTFS でクイックフォーマット。この状態でシステムの保護から、「ファイルの以前のバージョンのみを復元する」を設定した場合のスナップショット用の最大使用量は以下の値。

最大使用量(M) = 26%(320.00MB)
※現在の使用量は0バイト

最大使用量を超えるサイズの変化がボリューム内で発生した場合に、スナップショットの影響を調べるための実験を行いたいと考えているのですが、さてどうしたものか。
案1:

1.未使用領域を任意の文字列(例:hoge)で埋めておく
2.システムの保護を有効にした後、スナップショットを作成する
3.未使用領域を任意の文字列(例」fuga)で埋める
4.作成済みのスナップショットを dd でイメージ作成する
5.DD イメージファイルの未使用領域が hoge か fuga かを確認する

以前にテストした段階では、未使用領域もスナップショットで保護されていたので、空きが 1.1GB とかあるので、スナップショットの最大使用量を超えるサイズの変化がファイルシステムで発生するはず?
と思ったら、space.exe が手元にないよ...orz、FNG 用のファイルサーバからコピーするの忘れてた...
案2:
ブロック単位でスナップショットを保持するという理解なのですが、個別のファイル単位で影響があるのかも確認してみたいので、以下の手順も試してみるべきかもしれない。ボリュームはフォーマットしなおしてから作業。

1.未使用領域を任意の文字列(例:hoge)で埋めておく
2.コアラの画像などをテスト用ボリュームにコピー
3.システムの保護を有効にした後、スナップショットを作成する
4.画像ファイルを削除する(スナップショットからはリカバリ可能な状態になる)
5.未使用領域を任意の文字列(例」fuga)で埋める
6.「以前のファイルバージョンの復元」から画像がリカバリできるか確認

より正確にはスナップショットファイルで管理されているであろうブロックの情報を解析して、どのように変化するのか差異を確認した方がよいかもしれませんが、簡易的なテストということではこんな方法でしょうかね。もう少し賢い方法とかがあるような気もしますけど...