@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

CIPHER /W とアンチフォレンジック

Windows 2000以降では、EFS 関連のコマンドとして CIPHER*1 があります。
このコマンドの /W オプションを利用すると、指定したドライブやフォルダにある未使用領域を上書きし、削除されたファイル(データ)を復元できないように消してくれます。このコマンドを実行すれば、アンチ フォレンジック的な役割を果たしてくれるわけです。
確かに未使用領域にある削除されたファイルやデータは復元できない状態になりますが、全ての痕跡が消えるわけではないです。具体的には、ファイルスラック(File slack)については CIPHER /W の対象外のようです。*2
ボリュームのクラスタサイズ*3が大きければ大きいほど、そこ(File slack)にばっちり手がかりが残されている可能性もあるわけですやね。
あと、プロセス実行の監査を有効にしておけば、誰が CIPHER なんてマニアックなコマンドを実行したのかを確認することもできますよね。(引数が /W だったかは判断できませんけど)