検索(抽出)できないパターン
これ↓は Autopsy でセクタを直接みたところですが、先ほどと違い 0x49 の次に 0xff を置いてます。
0 41534349 49fffe41 00530043 00490049 ASCI I..A .S.C .I.I 16 00feff00 41005300 43004900 49ff0000 .... A.S. C.I. I...
先ほどは Slack space が 00 でしたが、ff だったりすると 0x49 0xff となり、この場合には文字列『ASCII』を Autopsy から Unicode 指定で検索してもみつかりません。
フォレンジックでの(マルチバイト)文字列の検索って大変ですねぇ。*1
『頑張れ jstrings !!』、とみんなでエールを送りましょう :-)
