アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

スナップショットあふれ実験その1

未使用領域を埋めるのには cipher コマンドを代用することにして、以下の作業を実行。

1.コアラ画像などをテスト用ボリュームにコピー
2.システムの保護を有効にしてからスナップショットを作成
3.画像ファイルを削除
4.Cipher /W を実行して未使用領域を上書き

この状態で、システムの保護から“現在の使用量”を確認すると、20.38MB と若干増えただけで、画像ファイルの取り出しも可能なんですが、なんとなくテスト方法を間違えている気がしてきましたよ。
スナップショットで管理されているブロックが、追記されるだけだとするとまた少し違うかもしれないので、もう少しテスト方法を考える必要がありそうな気が。
逆のパターンをテスト。

1.サンプルミュージックの音楽ファイルをテスト用ボリュームにコピー
2.音楽ファイルは空き容量がなくなるまでコピー(最終的に空き容量は17.7MBに)
3.スナップショットを作成(コアラ画像に続いて2個目のスナップショット)
4.“以前のバージョンを復元”から画像ファイルの復元が可能かを確認

この段階で、先のスナップショットに入っていた画像ファイルは復元できない状態になっていました。恐らくですが、音楽ファイルで空き容量が無くなった段階でスナップショットを作成したことで、古い画像ファイルを管理していたスナップショットが破棄されたかしたのではないかと思われますが、EnCase で見てなかったので未確認。
現状のディスクイメージを EnCase から見てみると、約335メガの最新のスナップショットファイルと、65k のおそらく最初のスナップショットファイルが残っていますが、65k のほうは特に意味のあるユーザーデータを確認できず。
というか、この状態でも Windows 7 のシステム保護の構成からサイズを確認すると、現在の使用量が 6.86MB とか表示されるのが何故なのかわかりません。スナップショットファイル自体は 300メガ超えているので、スナップショット内で使っている領域サイズとかを示しているんでしょうかね?(補足:初期化サイズ確認してなかったので論理サイズは300メガ超えているけど実際のサイズはもっと小さかったのかもしれません)
現在のスナップショットでは、136個の音楽ファイルを以前のバージョンから確認することができるので、さらに追加で以下を実行。

1.音楽ファイルをすべて削除
2.画像ファイルを、空き容量が半分くらいになるまでコピー(空き容量は約500メガ程度に)

この段階で、エクスプローラーから“以前のバージョンの復元”を実行すると、「利用可能な以前のバージョンはありません。」という悲しいお知らせが表示されます。しまった音楽ファイルをすべて削除した段階でどうなっていたか確認すべきだったかもしれない...
システムの保護から現在の使用量を確認すると、0 バイトという表示なので、スナップショットを維持できなくなった?(以前のバージョン復元が困難になった)段階で破棄とかの処理が行われるんでしょうかねぇ。スナップショットの最大容量に徐々に近づけながら、どの程度のサイズで以前のバージョンが使えなくなるのかテストするという地味な作業を行えば確認できるのかもしれませんが、蟹工船チックなのでパス(w
ボリュームのなかを EnCase で確認してみると、削除状態でスナップショットファイルがありますが、表示色が青なので初期化されてないデータ領域ということで微妙ですね。