@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

JumpList と The allocation table

JumpListのファイル構造続き。SAT(Sector Allocation Table)を確認します。

Object Linking and Embedding (OLE) Compound File (CF) format specification」を参照しています。

 Master Sector Allocation Table (MSAT)はオフセット76から開始されており、オフセット76からの4バイトは00 00 00 00である事から、セクタ位置は0となっています。

f:id:hideakii:20180428182039p:plain

 セクタ位置0を確認します。Sector identifier は 0xfffffffd (-3)です。

0xfffffffd (-3) ⇒ Marks the sector as used for the SAT(Sector Allocation Table)

f:id:hideakii:20180428182313p:plain

次にセクタ1を確認します。チェーンの値は06です。

f:id:hideakii:20180428184601p:plain

 セクタ 1 を確認します。

directory entryがあります、directory entryは128バイトです。 

f:id:hideakii:20180428185201p:plain

最初のdirectory entryをパースしてみます。

52 00 6F 00 6F 00 74 00 20 00 45 00 6E 00 74 00 72 00 79 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ⇒ The directory name in UTF-16 ⇒ R.o.o.t. .E.n.t.r.y.

16 00 ⇒ The byte size of the directory name including the end-of-string character ⇒ 22

05 ⇒ The type of the directory entry ⇒ root storage

00 ⇒ The node color of the directory entry. ⇒ red

FF FF FF FF ⇒ -1 ⇒ The value is -1 if no previous directory entry is present

FF FF FF FF ⇒ -1 ⇒ The value is -1 if no next directory entry is present

04 00 00 00 ⇒ The directory identifier of the sub directory entry

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ⇒ Class identifier

00 00 00 00 ⇒ User flag

00 00 00 00 00 00 00 00 ⇒ Creation time

E0 ED 7A A6 F7 D9 D3 01 ⇒ Modification time(FILETIME) ⇒ 4/22/2018 5:06:19 AM

03 00 00 00 ⇒ Sector identifier (SID) of the first sector of the directory

40 20 00 00 ⇒ The byte size of the directory ⇒ 8256

00 00 00 00 ⇒ Reserved

 

続きます。

 

参考URL:

github.com

binaryforay.blogspot.jp

articles.forensicfocus.com

 

f:id:hideakii:20180428125811j:plain