@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

2014-07-10から1日間の記事一覧

SANS ポスター:Windows Artifact Analysis(31) Jump Lists

LinkInfo構造の内容を確認してみます。(MS-SHLINK の Page 15)先頭4バイトがLinkInfoSizeですので、下記では 7F 00 00 00 という値から 128byte分のデータ範囲を抜粋しています。 7F 00 00 00 1C 00 00 00 01 00 00 00 1C 00 00 002D 00 00 00 00 00 00 00…