OLE構造に関する資料としては、以下の資料ですかね。 Object Linking and Embedding (OLE) Data Structures http://msdn.microsoft.com/en-us/library/dd942265(PROT.10).aspx で、いまごろ気がついたのですが、PSTファイルフォーマットの資料も OfficeFileF…

ファイル共有がLinux上のSambaなどで行なわれている場合、RobocopyによるSMB経由でのコピーではファイル名はユーザーが認識しているのと基本的に同じ名前で複製されることになると思います。 しかし、LinuxのExt3とかのファイルシステム上では異なる形式かも…

Robocopyはファイル単位でのコピーですので、ファイル毎にコピーのログがでます。EnCaseの場合セクタ単位なのでエラーになるセクタ（ブロック）があるとエラーが報告されます。 いずれにしても、ログは取っておく必要があります。

Robocopyにはハッシュ値を計算する機能がありませんので、コピーしたファイルの整合性を維持するには、別途ハッシュ値を計算するツールを使ってハッシュを計算する必要があります。EnCaseで論理証拠ファイル（LEF）にするという案もありますが、いずれのツー…

Robocopyの場合、アクセス権がないファイルは当然アクセス拒否されてファイルをコピーすることができません。EnCaseの場合にはセクタ単位でのコピーですからACLの影響は基本的に受けません。 Robocopyでのコピーを行なう場合には、対象となるファイルに対し…

Windows上からアクセスすることができない壊れたファイルがある場合、Robocopyではコピーすることができません。壊れているのでコピーする意味があるとは思えませんが、セクタ単位でコピーするEnCaseの場合には壊れた状態のデータが含まれるセクタがコピーさ…

削除ファイルと同様、未使用領域についてもRobocopyではコピーすることができません。これも、そもそも必要なのか？という確認になります。

あたり前かもしれませんが、Robocopyでは削除ファイル/フォルダはコピー元として指定することができません。そもそも必要か？という確認が必要ですね。

フォルダのツリー構造はどちらもコピーできるので差異はありません。強いて言えば、Robocopyはファイルサーバ上で共有されているポイントからのツリー構造になるという点でしょうか。ただ、ユーザーから見えているツリー構造を複製したいという趣旨であれば…

ファイルの属性値（Read Only, Hiddenなど）は、Robocopyでもオプション設定すればコピー先ファイルで同じように設定することができます。ファイル共有上のファイルという意味では、EFS暗号化を実施できないのでその点は気にしなくてよいかもしれません。（…

Robocopyでもオプション設定によりACLをコピー先のファイルに対して設定することが一応は可能です。しかし、ACLを設定するにはコピー元のSIDなどを解釈する必要があるためか、環境によってはACL設定でエラーが発生する場合があります。（SIDをコピーする環境…

NTFSの場合、ファイルのタイムスタンプは100nsレベルで記録されています。しかし、Robocopyを利用してコピーした場合、オプションにより秒レベルの時刻情報まではコピーできますが、ナノ秒のデータは欠落します。ナノ秒の情報が欠落したからといって問題にな…

RobocopyでもEnCaseイメージファイルでも、ファイルの内容はそのままですので、ファイル内容という点において差異はありません。ファイルはそのままコピーされるので、ファイル内に含まれているメタ情報（オフィス文書のプロパティなど）はそのままコピーさ…

RobocopyによるコピーはWindowsによるコピーと同じですので、コピーする単位は“ファイル”単位ということになります。Example.DOCというファイルがあれば、複製先にExample.DOCファイルがコピーされます。 EnCaseなどのコンピュータ用のフォレンジックツール…

Windowsの場合、ファイル名に「 \, /, :, *, ?, ", , | 」を含めようとすると、ファイル名にはこれらの文字が設定できないようにエラーになります。しかし、Windows以外の環境下ではこれらのファイル名が使われることもあるので、ケースによってはこれらの文…

ファイル共有上のファイルが、別のアプリケーションなどによりロックされている状態の場合、Robocopyによる複製ではエラーが発生します。リトライ回数の設定に依存しますが、リトライ処理でもコピーできなかった場合にはログにエラーが記録されることになり…

解説文が日本語ではなくて、英語なのが個人的にはとても残念（笑）だったりはしますが、反響が主に海外なのでまぁそうなりますかねぇ。*1 EnCase EnScripts for Memory Forensics http://cci.cocolog-nifty.com/blog/2010/02/encase-enscri-1.html EnCase En…

毎度、ぎりぎりの参加者募集ですが、今週末2月20日(土)開催予定のFNG11の参加者募集を開始します http://www.port139.co.jp/FNG/FNG11.pdf 今回は構造化ファイルということで、OLE構造などのファイルについてマイクロソフト社の公開資料などを使いながら基本…

ツールの名前*1はともかく、指定したフォルダ配下にある圧縮ファイルを再帰的に展開していくツールを隣の席な人が作ってくれたので、調査チームのWebで公開しています。 フォレンジック調査ツール http://www.ji2.co.jp/forensics/tools/index.html “蟹ハン…

引き続き、仮想的にマウントされている論理ボリュームの識別方法について。 とりあえず、稼働中システム上でロードされているデバイスドライバを確認する方法は幾つかありますが、NirSoftの DriverView を使うと、マイクロソフト以外のドライバを表示するオ…

先日の続き。 オープンされているファイルを基準に、ファイルを開いているプロセスを追跡するツールを探していたところ、NirSoftのOpenedFilesViewで可能なことを確認。 OpenedFilesView http://www.nirsoft.net/utils/opened_files_view.html このツールを…

iPhoneのバックアップファイルにパスワードが設定されている場合、パスワードリカバリーを行なうツール（β版？）がElcomSoftから提供開始されているようです。現在のところ価格などは未定のようですが、3/15まで使えるβ版が無償でダウンロード可能になってい…

いっそ面倒なことなど考えずに電源を落としてしまう方が扱い的には簡単そうなんですけど、そうも言ってられないご時世になりつつある気もします。 今後というかすでに？、仮想ボリュームというか、論理ドライブとしてマウントされているクラウド上のファイル…

Windows 7 から VHD ディスクのマウントに対応していますが、VHD に限らず TrueCrypt の暗号化ファイルコンテナや、RAMディスクや ISO イメージなど、物理的には存在しないが、論理ボリュームとしては存在するドライブというのがあります。これらの仮想的に…

tessyさんが喜びそうな？iPhone用のフォレンジックツールがForensic Focusで紹介されていますね。 論理取得になるので、取得できる範囲やデータはそれなりに限定されているようで、eMailとかの記述がないのは仕方がない世界なんですかね。 削除されているSMS…

Twitter経由(http://twitter.com/nmantani/status/8504440361)で知ったのですが、これは確かにヨサゲな資料ですね。いつも思うのですが、どうやって調べているんでしょうね。本当ならマイクロソフトからこの手の情報を積極的に公開して欲しいところなんです…

2月に入りましたので、そろそろ3月に開催されるEnCaseのトレーニングとか準備に入っていますが、今回は CF1,CF2 に引き続きで 2010/3/15 〜 3/16 要素技術セミナーも開催されます。 Windows フォレンジックのための要素技術セミナー http://www.ji2.co.jp/se…

「第6回デジタル・フォレンジック・コミュニティ2009 in TOKYO」の資料が下記 URL で公開されています。 http://www.digitalforensic.jp/expanel/diarypro/diary.cgi?no=178&continue=on 今回の IDF は残念ながら参加できなかったので、後からゆっくり資料を…