ファイルシステムに特化した部分ですと、やはり読むべき書籍はこれですよね。高いのと英語版しかないので、若者は会社に参考書籍として買ってもらうといいかもしれません。 

File System Forensic Analysis

• 作者: Brian Carrier
• 出版社/メーカー: Addison-Wesley Professional
• 発売日: 2005/03/17
• メディア: ペーパーバック
• 購入: 2人 クリック: 77回
• この商品を含むブログ (10件) を見る

 

 個人的には Dan Farmer 氏と Wietse Venema 氏の共著「Forensic Discovery」でファイルシステム関連というか、基本的な部分を学ばせてもらった気がしています。今はPDFで公開されているようです。

Forensic Discovery
http://www.fish2.com/security/wf-book.pdf

あとは、ハードディスク関連の書籍とかも読んでおくと良いのではないでしょうか。個人的には下記を参照したりしました。技術的に深い部分は理解できませんでしたがそれでも色々と仕組みが分かって面白かったです。最近は SSD などもあるので、SSDなども含めた記述がある書籍の方が役立つのかもしれません。 （特にSSDのTrimとかそのあたりの記述があるといいと思いますが、具体的な書籍名は思い浮かばず）

ハード・ディスク装置の構造と応用―記録・再生の原理とメカニズム&インターフェース (C&E基礎解説シリーズ)

• 作者: 岡村博司
• 出版社/メーカー: CQ出版
• 発売日: 2002/04
• メディア: 単行本
• クリック: 1回
• この商品を含むブログ (7件) を見る

 

改訂 ハード・ディスク装置の構造と応用―記録/再生の原理とメカニズム&インターフェース (レベルアップ・シリーズ)

• 作者: 岡村博司,服部正勝
• 出版社/メーカー: CQ出版
• 発売日: 2010/01/16
• メディア: 単行本
• クリック: 14回
• この商品を含むブログ (6件) を見る

 

 デジタル・フォレンジック用の複製装置のマニュアルが公開されていれば、それを参照するのも結構勉強になる気がします。

最近の複製装置は機能的にもイメージ出力やエラー処理が強化されている部分があると思いますので、その辺りの機能を知るのは面白いのではないでしょうかね。

国内企業が出している製品のマニュアルがもし参照できれば、米国製品の機能と比較してみると結構面白い気もします。

合わせて、NIST の Computer Forensics Tool Testing (CFTT) Project についても知っておくと良いでしょうね。

Computer Forensics Tool Testing
http://www.cftt.nist.gov/