ディレクトリエントリの痕跡からファイル復元

VHDディスク上に FAT32 でボリュームを作成。ボリュームサイズは 100MB。

JPEG画像ファイル（犬の画像）を FAT32 ボリューム上の Pictures フォルダに置きます。

FAT32ボリュームを「クイック」フォーマット。

エクスプローラから参照しても、犬は行方不明で確認できない。

Autopsy 4.4.1 でボリュームを参照。（FATファイルシステムのオーファンファイルは探す設定）

インジェストモジュールの実行は無し。

無事に犬が発見される。

FAT ボリュームに対する $OrphanFiles の仕組みですね。

上記では意図的にクイックフォーマットする事で Pictures フォルダのディレクトリエントリを未割り当て領域内に残しています。Autopsy は未割り当て領域から発見した Picture フォルダのディレクトリエントリからデータを復元し表示。

エントリだけかと思っていたら、Unalloc でも参照できる状態でいらっしゃいました。

フォルダを作成しない場合

FAT32ボリューム上にフォルダを作成せず、ルート直下に画像を保存。

クイックフォーマットを実施した後、Autopsy で参照。フォーマット処理によりルートのディレクトリエントリがクリアされるため、上記とは異なりディレクトリエントリからの復元は出来ない。

画像データが保存されているクラスタが上書きされていなければ、未割り当て領域側にはデータが残っているので確認が可能。（ファイル名やタイムスタンプなど、ファイルシステムのメタ情報は確認できないが、画像データ内に EXIF 情報があればそれらの情報は確認が可能）