ファイルのスラックスペースを明らかにする剖検
私はオートプシーを使用しており、別のファイルのスラックスペース内の非表示のパスワードを回復する必要があります。
検死により、私のディスクの各セクターは512バイトであることがわかります。ファイルはセクターの4365で始まり、ファイルのサイズは677バイトです。 4365セクター* 512バイト/セクター+ 677バイト= 2,235,557で計算すると、スラックスペースがあるはずです。
調べる必要がある私のファイルにはそれほど大きなオフセットがありません。また、オフセット2,235,557に移動しても$ Unallocファイルには何も表示されません。
どこを探すべきか、実際の既存のファイル、または探しているオフセットを持つコンテンツを削除した$ Unallocファイルがわかりませんが、そのオフセットには0しかありません。
確かではありませんが、ファイルスラックが物理ファイルサイズと論理ファイルサイズの違いであることを知っていますか?
標準のハードドライブを備えた標準のWindows PCを調査していて、指定したセクターサイズを指定している場合、クラスターサイズは8セクター(4 KB)である必要があります。
ファイルは677バイトです。これは、指定された4096バイトのスペース(1クラスターまたはファイルシステムで処理できる最小単位)を意味します。これは、論理ファイルの終わり(677バイト)と与えられた物理的なサイズ(4096バイト)はスラックです。
このリンクを確認してください: NTFSファイルシステムの非表示データの分析