HKLM\SYSTEM\CurrentControlSet\Services\bam\ キーに記録される、プログラム実行の痕跡について検証された記事が下記で参照できます。 padawan-4n6.hatenablog.com 私もこのレジストリキーについて検証してみたいと思います。テスト環境は Windows 10 ver 1…

Forensicistさんが、USN Analyticsツールを公開されています。USN Analytics ツールは、$J をパースするだけでなく、フォルダ構造も解析してくれます。 つまり、$MFT ファイルを利用せずに、フォルダ構造をある程度再現できます。 サンプルのフォルダ構造を…

NTFS の Fixup 値と update sequence について確認します。Fixup については NTFS Documentation を参照します。 サンプルの画像ファイル coin.jpg を E: ドライブへコピーし、MFT ファイルでFile レコードを確認します。coin.jpg ファイルの File レコード…