ファイルスラックでデータを明らかにする

Filesystem Slackが必要だと思います。 Xaqronが言うように、ドライブを開くことができる16進エディターが必要になります。ファイルを開くと、Filesystem SlackではなくFile Slackでのみ役立つからです。

できれば、16進データと同時にASCII文字を表示する16進エディタを使用する必要があります。

16進エディターを使用した手動レビュー

このようなエディターを入手したら、探しているものを見つける必要がありますか？

消去されたWord文書を探しているとしましょう。開始する最良の方法は、16進エディタでWord文書を見て、ファイルの先頭にある種類のコードを見つけることです。これは、すべてのWord文書で見られる可能性があります。

このようなコードを見つけたら、スラックスペースでこれを検索できます。

ドライブを直接開くと、割り当て済みとSlackの両方のallデータが表示されることがわかります。残念ながら、どちらがどれであるかを人間が区別することは困難です。たとえば、実際のWord文書と削除された文書がある場合、どのようにして違いを見分けることができますか？これは非常に難しいでしょう。

代わりに、興味のあるキーワードやフレーズを検索する必要があるかもしれません。一部のドキュメントでは、テキストのエンコードが異なることに注意してください。ここでも、Slackスペースでこれを検索する前に、削除されていないファイルがどのように見えるかを比較する必要があります。

同じ原則が、Wordだけでなく、あらゆる種類のドキュメントに適用されます。たとえば、画像ファイルの最初の数バイトは、ファイルの種類を示すために使用できることがよくあります。残念ながら、画像は高度にエンコードされているため、コンテンツを検索できません。

txtのような一部のファイルにはそのような識別情報はありませんが、エンコーディングが非常に軽いため、スラックスペースで簡単に見つけることができます。

Slack Spaceは、ファイルのチャンクが部分的に上書きされたり期限切れになったりして、混乱することがよくあります。最適化プロセスまたは他のファイルへの再割り当てにより、リカバリできるものにギャップが生じる可能性があります。

ツール

さらにいくつかのことが頭に浮かびます。

• 割り当てられたスペースとは別にSlackスペースを強調表示して検索する特別な16進エディターまたはその他のツールが利用できる場合があります。あるかわかりませんが、あるようです。これは、手動によるレビュープロセスに役立ちます。

• Slack Spaceからファイルを識別して復元するように設計されたアプリケーションがあります。これらの自動化ツール（削除されたファイルの復元）はすぐに利用でき、生産的な作業を行うための最も簡単な方法です。

探していることはフォレンジック分析と呼ばれ、プロセスは非常に簡単です。ディスクイメージのコピーを含むファイルを作成し、イメージを分析ツールにロードして、ハンティングを開始します。

Windowsマシンでハードディスクのディスクイメージを作成するには、おそらくLinuxのLiveCDディストリビューションを起動し、ddを使用してディスクイメージをどこかにファイルにコピーするのが最も簡単な方法です。 Windowsでディスクイメージを作成できるフリーウェアやその他のツールがあり、それらはUSBスティックやリムーバブルドライブで正常に動作します。 （また、暗号化されたディスクは、有用なイメージの作成を効果的に妨げることにも注意してください。）

EnCaseは分析のために、多くの専門調査員が使用するツールです。 （私は学生が利用できる無料版があると思います。）しかし、それはすべてクローズドソースであり、完全にライセンスされた製品はかなり高価です。

The Sleuth Kitと呼ばれる非常に優れたオープンソースツールと、Autopsyと呼ばれる利用可能なWindows GUIバージョンがあります。 Autopsyを使用すると、ディスクイメージファイルを開いたり、ディスクを検索したり、「削除された」ファイルを回復したり、スラックスペースの内容を簡単に調べたりできます。多くの場合、調査の焦点である削除された画像を見つけるのに役立つモジュールがあります。あなたはそれが十分に文書化されているのを見つけるでしょう、そしてウェブにはたくさんの良いチュートリアルがあります。