アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

ロックされているファイル

ファイル共有上のファイルが、別のアプリケーションなどによりロックされている状態の場合、Robocopyによる複製ではエラーが発生します。リトライ回数の設定に依存しますが、リトライ処理でもコピーできなかった場合にはログにエラーが記録されることになります。
稼働中システムをF-Responseなどと組み合わせてEnCaseでイメージを取得する場合、ロックされている(オープンされている)ファイルのセクタがそのままコピーされることになります。この為、例えば PST ファイルのようにオープンされた状態のファイルをそのままセクタ毎コピーすると、後処理で PST がダーティー状態になっている可能性があります。ScanPSTツールなどで修復することもできますが、いずれにしてもオープン中などのファイルがないようにはしておいた方が安全ですね。