[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[port139:01378] Re: unallocated (free) space, file slack

To: port139@xxxxxxxxxx
Subject: [port139:01378] Re: unallocated (free) space, file slack
From: Tanaka Souji <souta3@xxxxxxxxxxxxxx>
Date: Sun, 07 Jul 2002 12:29:51 +0900

Linux マシンが手元になく悲しいのですが...

On Sat, 06 Jul 2002 22:55:04 +0900
DANNA <danna@xxxxxxxxxxx> wrote:

>えー、デフォルトでは未割り当てブロックのみが対象になってますけ
>ど、-e オプションを指定することで、ddコマンドと同等の働きをしま
>す。でも、そうするとわざわざunrmを使う理由は無いですね。どっち
>でも好みで使えば良いかなぁ。

unrm の -e オプションは、dd と同じく全てのブロックを読み出す
ことになりますよね？

file slack や unallocated space を解析したい理由としては、

 ・未割り当て領域に残されたデータに証拠となるデータが
   含まれているやもしれぬ

ということだと考えています。
その解析方法としては

 a. HDD 上に存在する file slack を収集し一つにまとめる
 b. 個別に file slack を確認・収集する

が考えられると思いますが、unrm は a の方法を取り、file slack
と unallocated space を同時に収集しているのではないかと推測
したのですが間違ってますでしょうか？

bmap を利用して file slack にデータを書き込み、unrm により
収集したデータに、 bmap で書き込んだデータが含まれていれば
unrm は file slack 上のデータも収集するという確認が取れると
思うのですが...

>まぁ、slack dataの収集だけが目的でしたら、もっと他のツールとか
>方法がありますよ。要はファイルシステム上の目的とするブロックが
>ダンプできれば言いわけですよね。

お手数でなければ、他のツールや方法をご教授いただけますか？
＃聞いてばかりで恐縮なので、Google などで検索しているのですが
＃UNIX で file slack を収集するツールが bmap 以外出てこない...

個別ファイル毎に file slack を解析していくのは現実的ではない
ので、一般的には HDD 上の file slack を全部一つに収集し、それ
を解析することでよいのではないかと考えております。

-- 
Tanaka Souji <souta3@xxxxxxxxxxxxxx>

Follow-Ups:
- [port139:01380] Re: unallocated (free) space, file slack
  - From: DANNA

References:
- [port139:01375] Re: unallocated (free) space, file slack
  - From: Tanaka Souji
- [port139:01376] Re: unallocated (free) space, file slack
  - From: DANNA

Prev by Date: [port139:01377] DCOM の無効化 (Re: [port139:01351] IE'en)
Next by Date: [port139:01379] Re: ASP 開発者がしてはいけない TOP20
Previous by thread: [port139:01376] Re: unallocated (free) space, file slack
Next by thread: [port139:01380] Re: unallocated (free) space, file slack
Index(es):
- Date
- Thread