読者です 読者をやめる 読者になる 読者になる

アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

SANS ポスター:Windows Artifact Analysis(25) Jump Lists

Windows 7 の Jump Lists ファイルである、 89b0d939f117f75c.automaticDestinations-ms ファイル構造の続きになります。

オフセット 512 からの1セクタ分は FAT になります。いわゆるFATファイルシステムの管理方法と基本的な考え方は同じようで、使われているセクタの割り当て状況とチェーンが構成される事になります。以下、セクタ0(オフセット512)からの抜粋。

FD FF FF FF 08 00 00 00 FE FF FF FF 04 00 00 00
05 00 00 00 06 00 00 00 07 00 00 00 09 00 00 00
FE FF FF FF 0A 00 00 00 0B 00 00 00 0C 00 00 00
0D 00 00 00 0E 00 00 00 FE FF FF FF FF FF FF FF

最初の値は FD FF FF FF となっていますが、これは[MS-CFB].pdf の Page 20 の記述では以下になっています。

FATSECT 0xFFFFFFFD
Sectors that contain storage for FAT sectors (FATSECT = 0xFFFFFFFD).

セクタ0はFATですので、そのマークがされているという事でしょうかね。
次の値は 08 00 00 00 ですが、これはセクタ 1 のデータには続きがあり、セクタ 8 を使っている事を示しています。このチェーンに従いセクタ 8 の位置を確認すると FE FF FF FF である事が分かります。

ENDOFCHAIN 0xFFFFFFFE
Chain terminators (ENDOFCHAIN = 0xFFFFFFFE).

この値が出た段階でチェーンが終了しますので、データの割り当てはこのセクタまでという事になります。
セクタ1を使っているデータはセクタ8でデータが終わっている状況ですね。セクタ1 は Compound File Header では First Directory Sector Location としてポイントされており、Compound File Directory Entry 構造が出てくる事になります。