@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

2014-06-09から1日間の記事一覧

SANS ポスター:Windows Artifact Analysis(5) Windows Shell Item

2.2.4. Users 0x00 shell item のデータをパースしてきていますが、下記のデータ部分は extension Block という事が分かりました。 2A 00 00 00 00 00 EF BE 00 00 00 20 00 00 00 0000 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0000 00 00 00 01 00 00 0…