2009-08-25 FNG01 まとめその(2)
■フォルダのエントリ
従来「.」と「..」のパターン検索を行うことで、FATのフォルダエントリを探したりできましたが、exFATではフォルダ内のディレクトリエントリとして「.」と「..」がなく、直接 0x85 などのレコードが記録されています。ということで、Recover Folders...が使えないというか、EnCaseの右クリックメニューにも表示が見あたりません。*1
Grep「\x05.{31,31}\x40.{31,31}\x41」で 0x05 と 0x40 と 0x41 が出てくるのを探せないこともないとは思いますが、その後を手動でやるのがちょっと大変ですかねぇ。実際に検索してみるとそこそこノイズも出るので、もう少し精査しないと駄目かも。
*1:EF6.14.1だと削除フォルダまではリカバリするんですがその中身を復元してこない気がする、ディレクトリエントリは目視で確認すると存在しているので、不具合なのか現状の制限事項なのかは不明
トラックバック - http://d.hatena.ne.jp/hideakii/20090825/1251169632
リンク元
- 855 http://www.katsunori.com/
- 159 http://www.st.ryukoku.ac.jp/~kjm/security/memo/
- 142 http://www.tfg.ne.jp/~monkey/hatagoya2/
- 81 http://www.st.ryukoku.ac.jp/~kjm/security/antenna/
- 29 http://www.st.ryukoku.ac.jp/~kjm/security/memo/2009/08.html
- 16 http://www.google.co.jp/search?sourceid=navclient&hl=ja&ie=UTF-8&rlz=1T4GGLJ_jaJP309JP309&q=copy+/b
- 15 http://www.pythagoras.bz/index.php/default/detail?url=http://d.hatena.ne.jp/hideakii/
- 12 http://www.google.co.jp/search?hl=ja&client=firefox-a&rls=org.mozilla:ja:official&hs=WS8&q=Leopard+レオパルド&btnG=検索&lr=lang_ja
- 9 http://a.hatena.ne.jp/ghetto2199/
- 8 http://d.hatena.ne.jp/