「事前に勉強しておくべきことなどはありますでしょうか?」というご質問をいただいたので、返信の前にちょっと参考情報とかをまとめてきたいと思います。
とはいえ、実際にやってみて楽しむのが趣旨なので、「事前に遊んでみる」ということで。
FAT32の仕様書
今回は FAT と exFAT で遊んでみることを考えていますが、FAT に関しては各種資料が Web にあがってます。マイクロソフトからも以下の文書が公開されていますので、この資料がまずは基本になるかと思います。
FAT32 File System Specification
http://www.microsoft.com/japan/whdc/system/platform/firmware/fatgen.mspx
最初からこの資料を熟読するってのは大変な気がしますが、あっしはすぐに図とかを探してそこを手掛かりにしています。例えば、この資料の P28 に Storage of a Long-Name Within Long Directory Entries の解説して図が掲載されていますが、これがディレクトリエントリの構造を示してます。FAT で削除ファイルを復元したりする時には、このディレクトリエントリがとても重要になるわけですが、まずはこのディレクトリエントリを見つけるところからでしょうか。
参考書籍としてはもちろん「File System Forensic Analysis」がよいと思いますが、ちょっち高いですかね。
ボリュームをエディタで直接見る
セキュリティキャンプではバイナリエディタとして Stirling を使いましたが、前提条件として dd で Fat ファイルシステムのイメージを作成して、それを閲覧することを想定しています。これだと、?サンプルのファイルを作成、?DDイメージの作成、?バイナリエディタで開く、と手順が多いので、HELIX に入っている FTK Imager を使うともう少し手軽でしょうか。
ただ、とりあえず Fat の構造を見るだけなら、直接ドライブの内容をバイナリで見えて、かつ編集できる方が簡単だと思いますが、無償で使えるエディタでドライブ指定可能なのってあるんですかね?
ファイルが使っているクラスタへ飛ぶとか、メタ情報でクラスタ割り当て状況を知りたいとかになると、TSK があると便利だと思いますけど、準備が面倒ってのがありますね。
以前試してそのままになっていた、Nigilant32 はどうかなぁと思って手元の Vista 環境で動かしてみたんですが、なんかいまいちうまく動きません。
