読者です 読者をやめる 読者になる 読者になる

アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

不良セクタとNTFS上$BadClusの関係

フォレンジック

ハードディスク上に不良セクタが発生すると、該当セクタがエラーになる事がOS側に通知されます。HDD内部では代替セクタのマッピングが自動的に行われ、そのセクタが利用可能になった場合でも、OS側でも不良クラスタの情報を管理しているので、HDDと情報が一致しないケースが発生します。

 

NTFSについては、chkdsk で /B オプションを指定する事で不良クラスターの再評価が実施されるようです。(同時に/Rも暗黙的に指定されるので、不良セクターの検出も自動的に実行される)

不良クラスターの情報を /B でクリアしたい場合もあるようですが、完全に消すにはやはりイメージで取ってから/Bでクリアするなどの手順を取る必要があるようですね。

How to unmark an NTFS cluster as bad?

 

http://superuser.com/questions/693400/how-to-unmark-an-ntfs-cluster-as-bad

 

NTFSの場合には不良クラスタは$BadClusで管理されていますが、この仕組みを使ってファイルを隠すといった手法もお話としては出てきますね。 

Analysis of hidden data in the NTFS file system

http://www.forensicfocus.com/hidden-data-analysis-ntfs

APPENDIX A: DETAIL PROCESS OF HOW DATA IS HID IN FAKED BAD CLUSTERS

http://www.forensicfocus.com/Content/pid=66/page=8/

 意図的に不良クラスを作成した場合に、保全段階で影響が出るか?というのは素朴な疑問として発生します。しかし、オフラインの状態ではまず関係がないという事、オンラインであっても $BadClus を参照しながらディスクからデータを読み込むツールでなければ影響を受けないのではないでしょうか?

 

Windows 8ではchkdskの処理能力が改善されているようで、下記でその変更内容について解説されています。 

chkdsk の刷新と新しい NTFS 正常性モデルの追加

http://blogs.msdn.com/b/b8_ja/archive/2012/05/16/chkdsk-ntfs.aspx

 

  そのほか参考URL:

 NTFS Tips 不良クラスタの情報

http://seesaawiki.jp/w/kou1okada/d/NTFS%20Tips

 NTFS ボリューム上のディスク領域の問題を特定して修正する方法

http://support.microsoft.com/kb/303079/ja