NTFS $I30 内に、削除レコードを作成してみます。

サンプル用にフォルダPicturesを作成します。

次に、削除レコードとして残したいファイルをPicutresフォルダへコピーします。
ファイル名は、名前でソートした場合、最後に表示される名前にしておきます。

今回は、$I30の削除レコードとしてShoebill.jpgを作成します。

Shoebill.jpg を Pictures フォルダへコピーします。

他のファイルをPicutresフォルダへコピーします。

fte ツールを利用し、$I30の内容を確認します。

Shoebill.jpgのMFTレコード番号は36です。

AutopsyでPicturesフォルダのメタ情報を確認します。INDEX_ALLOCATION $I30はクラスタ番号35に存在しています。

 クラスタ番号35を参照します。Shoebill.jpgの$FNデータが最後に存在しています。

 Shoebill.jpgファイルを削除します。

AutopsyでPicturesフォルダを確認します。MFTレコード番号36の情報から、JPEG画像を表示できます。

 新規にファイルを作成し、MFTレコード36を上書きします。

AutopsyでPicturesフォルダを確認します。$I30のエントリだけが表示されています。

 fteツールで$I30を確認します。

Autopsyでクラスタ番号35を参照します。Shoebill.jpgの$FNデータが存在しています。

Flag項目は 0x02 『Last index entry in the node』となっています。

0x00023880: 00 00 00 00 00 00 00 00 10 00 00 00 02 00 00 00 ................

先頭8バイトの「File reference」は上書きされています。この為、MFTレコード番号は確認できな状況です。

意図的に$I30にファイル名痕跡だけを残したい場合には、上記手順で作成できます。