アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

スナップショットあふれ実験その2

日曜日の午後といえば、“スナップショットをあふれさせる”こと以外に、人生にはもっと重要なことがあるはずとか思いつつも、とりあえず思いつくこともないので追加実験。
先ほどまで使っていたボリュームはクイックフォーマット*1を行い、念のためCipherを使って未使用領域を上書き。
今回はデータの確認がやりやすい画像ファイルでまず領域を埋める。

1.サンプルピクチャの画像ファイル4つ(菊・砂漠・アジサイ・クラゲ)をテスト用ボリュームにコピー
2.画像ファイル4つは、空き容量が半部程度になくなるまでコピー(最終的に空き容量は526MBに)
3.スナップショットを作成(クラゲスナップショット)
4.ボリュームから4つの画像(菊・砂漠・アジサイ・クラゲ)896件を削除

この段階でOSをシャットダウンし、EnCase でボリュームを確認すると System Volume Information 配下にスナップショットファイルが存在していることが確認できますが、Initialized Size は 0、論理サイズが約 335メガの状況です。ん?初期化サイズがゼロ?、OS を再度起動してシステム保護の“現在の使用量”を確認すると、9.26MB となっていますが、この初期化サイズゼロでデータ持ってないのだとすると、他にも関連するデータを保持しているものがあるということですかねぇ。
引き続き実験を継続。

5.エクスプローラからボリュームを確認すると、ファイルは何もない状態
6.“以前のバージョンの復元”からは、896件の画像ファイルが復元可能な状態を確認
7.サンプルピクチャの画像ファイル4つ(コアラ・Lighthouse・Penguins・Tulips)をテスト用ボリュームにコピー
8.画像ファイル4つを、約100メガ分をコピーし、以前のバージョンに 896件の画像が表示されることを確認
9.画像ファイル4つを、合計約300メガ分をコピーし、以前のバージョンに 896件の画像が表示されることを確認
10.システムをシャットダウンしスナップショットファイルの内容をEnCaseから確認

むぅ、なにかしっくりこない。何かを間違えている気がしてきた...未使用領域って保護されているのか?!区別がつかん...
とはいえ引き続き続行。

11.さらに50メガ分の画像をコピー、全体サイズとしては約364メガ
12.スナップショットサイズ以上の書き込み発生の状況で“以前のバージョン”から896件の表示があることを確認
13.この時点でのシステムの保護における“現在の使用量”は 302.63MB(最大は320メガなのでぎりぎり)
14.さらに画像をコピー、全体サイズとしては約475メガ
15.この段階で“以前のバージョンはありません”表示になり、使用量も 0 バイトに減少
16.スナップショットファイルは削除ファイルとして確認できますが...

んーこの動作だと、未使用領域を保護してない気がしてきたので、未使用領域の取り扱いは改めて別途確認が必要な気がしますね。
削除状態にあるスナップショットファイルの中身を解析するには、データ構造をパースしないといけないですかね。

*1:1.2GBのディスクに対して、デフォルトのフォーマットにおけるクラスタサイズは4,096という表示になっている