Win 10 と sdelete
Windows 10 ver 1709 上での sdelete コマンドの動作について。
Sdelete コマンドについては、Kazamiya さんが「SDelete | Forensicist」に詳しく整理されていますので、そちらを参照ください。
Picturesフォルダに JPEG ファイルを置いてあります。このボリュームは NTFS でフォーマットしてあります。
JPEG 画像ファイルのメタ情報をAutopsy 4.5.0 で確認します。JPEG 画像ファイルのMFTレコード番号は 39 で、親フォルダ(Pictures)の MFT レコード番号は 43 です。
sdelete を利用して JPEG ファイルを削除します。
ファイルの削除後、E: ドライブを Autopsy で確認します。先ほどのJPEG画像ファイルは Pictures フォルダ配下ではなくroot上で発見できます。
$FN属性の Parent MFT Entry が 5 になっている事を確認できます。
sdeleteはファイル名を26回変更しますが、ファイル名変更時に親フォルダをrootに設定するようですね。
フォルダを削除
再度 JPEG 画像ファイルを配置し、Pictures フォルダの単位で削除してみます。JPEG 画像ファイルの MFT レコード番号は 39、フォルダのMFTレコード番号は 43 です。
JPEGファイルのファイル名変更されています。しかし、Picturesフォルダの名前は変更されていません。
なお、JPEGファイルのデータ内容は 0x00 となっています。
Cドライブ
C:ドライブでテストファイルを作成し、sdeleteで削除します。
ファイル名の変更は行われていません。temp フォルダ配下で削除ファイルとして確認できます。データ内容は 0x00 になっています。
参考URL:
https://jpcertcc.github.io/ToolAnalysisResultSheet_jp/details/sdelete.htm