NTFS $I30 と Deleted record
NTFS $I30 内に、削除レコードを作成してみます。
サンプル用にフォルダPicturesを作成します。
次に、削除レコードとして残したいファイルをPicutresフォルダへコピーします。
ファイル名は、名前でソートした場合、最後に表示される名前にしておきます。
今回は、$I30の削除レコードとしてShoebill.jpgを作成します。
Shoebill.jpg を Pictures フォルダへコピーします。
他のファイルをPicutresフォルダへコピーします。
fte ツールを利用し、$I30の内容を確認します。
Shoebill.jpgのMFTレコード番号は36です。
AutopsyでPicturesフォルダのメタ情報を確認します。INDEX_ALLOCATION $I30はクラスタ番号35に存在しています。
クラスタ番号35を参照します。Shoebill.jpgの$FNデータが最後に存在しています。
Shoebill.jpgファイルを削除します。
AutopsyでPicturesフォルダを確認します。MFTレコード番号36の情報から、JPEG画像を表示できます。
新規にファイルを作成し、MFTレコード36を上書きします。
AutopsyでPicturesフォルダを確認します。$I30のエントリだけが表示されています。
fteツールで$I30を確認します。
Autopsyでクラスタ番号35を参照します。Shoebill.jpgの$FNデータが存在しています。
Flag項目は 0x02 『Last index entry in the node』となっています。
0x00023880: 00 00 00 00 00 00 00 00 10 00 00 00 02 00 00 00 ................
先頭8バイトの「File reference」は上書きされています。この為、MFTレコード番号は確認できな状況です。
意図的に$I30にファイル名痕跡だけを残したい場合には、上記手順で作成できます。