まぁしかし、4時間も MFT レコードと睨めっこしていると疲れますねぇ。午前中なので血糖値を無理矢理？上げて集中力を維持する方法をなんか考えた方がよいかもしれないと思ったりしましたが、何がいいんでしょうね。

MFTレコード内にデータが保存される場合に、$DATA属性のサイズと実データサイズとが不一致になるケースがあり謎な現象となっていました。意図的にスラックを作成するテストをしていた M 氏により発見されたので M 現象と名付けられたのですが、$DATA の属性…

データ保存クラスタ位置を手動で確認するため、DataRUN とかも目視で確認して計算とかしていたのですが、3バイトとかで正負の計算とかするのが結構面倒だったという噂があります。 電卓ツールなどをダウンロードして試してみたりもしたのですが、以下のURLが…

以前のセキュそばの資料として TimeStomp を調べた時に ＄FILENAME 属性についても少し触れたのですが、資料置き場として使っていたサクラのレンタルサーバを解約しちゃったので PDF へのリンクが切れています(^^;; まぁ 2005年とかの資料で、Windows XP し…

Windows 7 でゴミ箱を空にするか、ゴミ箱内のファイルを削除した場合、MFTレコードのスラック領域がゼロで上書きされるようです。先ほどの Jellyfish.jpg 画像をゴミ箱に移動した段階では、MFTレコードのスラック領域に長いファイル名の痕跡が残っていました…

まず Jellyfish.jpg のMFTレコードを、HighlightSpecificMFTRecordのEnScriptを使ってブックマークして内容を確認。以下、$MFTファイル内のレコード番号(FileIdentifier)38番*1の内容をEnCase上で表示したところ。 46494C4530000300EC3F100000000000 FILE0..…