[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[port139:01376] Re: unallocated (free) space, file slack

To: port139@xxxxxxxxxx
Subject: [port139:01376] Re: unallocated (free) space, file slack
From: DANNA <danna@xxxxxxxxxxx>
Date: Sat, 06 Jul 2002 22:55:04 +0900

ども。ダンナ＠サポセンです。

soujiさん
> unrm は slack space にある情報の収集は行わない、とい
> う理解でよろしいでしょうか？

えー、デフォルトでは未割り当てブロックのみが対象になってますけ
ど、-e オプションを指定することで、ddコマンドと同等の働きをしま
す。でも、そうするとわざわざunrmを使う理由は無いですね。どっち
でも好みで使えば良いかなぁ。

件のレポートはautopsyを使ってますね。するとtctutilsを使ってるわ
けで、ddコマンドを使ってるんじゃないかなぁと思います。それか-e
を使ってるんかな。

ちなみに、bcatはddとかで集められたファイルイメージのダンプデー
タから、指定するブロックのデータを表示する機能を持ちます。特に
bcatを使わなければならないわけではありません。暇があればhexdump
とかでも、slack dataは参照できます。bcat使ったほうがラクチンな
のは言うまでもありません。

まぁ、slack dataの収集だけが目的でしたら、もっと他のツールとか
方法がありますよ。要はファイルシステム上の目的とするブロックが
ダンプできれば言いわけですよね。

それほどForensicに興味をお持ちでしたら、ぜひじっくりとTCTに付き
合ってみることをお勧めします。autopsyまで使うようになると、なか
なか面白いと思います。


>--------- みっきーのネットワーク研究所 ---------<
>  DANNA @ SAPOSEN                               <
>  MAIL : danna@xxxxxxxxxxx                      <
>  HP   : http://www.hawkeye.ac/micky            <
>  PGP  : http://www.hawkeye.ac/micky/micky.pub  <
>------------------------------------------------<

Follow-Ups:
- [port139:01378] Re: unallocated (free) space, file slack
  - From: Tanaka Souji

References:
- [port139:01372] Re: unallocated (free) space, file slack
  - From: DANNA
- [port139:01375] Re: unallocated (free) space, file slack
  - From: Tanaka Souji

Prev by Date: [port139:01375] Re: unallocated (free) space, file slack
Next by Date: [port139:01377] DCOM の無効化 (Re: [port139:01351] IE'en)
Previous by thread: [port139:01375] Re: unallocated (free) space, file slack
Next by thread: [port139:01378] Re: unallocated (free) space, file slack
Index(es):
- Date
- Thread