2010-10-21 FTK ImagerとContents of Folder
■FTK Imager 3 と LEFファイル
FTK Imager 3 では EnCase LEF(論理証拠ファイル)を取り扱えるようになっているので、これは便利かも!と思ってちょっと確認してみたのですがまだ完全ではないようです。
EnCase LEF ではファイルを論理証拠ファイル内に収容する段階で、すでに収納済みの重複するファイルがあると、重複排除のような仕組みを持っているようです。LEF ファイルの詳細な仕様が公開されていないので勝手な推測ですが、例えば対象データが 1GB あっても半分重複していると 500MB の LEF が生成されます(もちろん非圧縮のオプションを選択している場合)。
例えば、LEF 内に重複しているファイルがある場合、FTK Imager からそれらのファイルを参照すると、ファイルのコンテンツが適切に表示されません。この為、そのまま Native ファイルを Export しても例えば 500MB 分しか出ないというか、重複処理されているファイルの中身については正しく取り出すことができません。
Twitter でも確か関連する話題が流れていた気がするので、そのうち修正されるのではないかと思いますが、現在の Ver 3.0.0.1443 では LEF の取り扱いについては問題があるということで注意が必要ですね。
トラックバック - http://d.hatena.ne.jp/hideakii/20101021/1287628012
リンク元
- 83035 http://www.katsunori.com/
- 17288 http://pipes.yahoo.com/pipes/pipe.info?_id=rDoaUrbV3RGyGHw8BRNMsA
- 13895 http://www.tfg.ne.jp/~monkey/kagoya/
- 487 http://www.google.co.jp/search?sourceid=navclient&hl=ja&ie=UTF-8&rlz=1T4GGLJ_jaJP243JP244&q=ntfs+ads
- 454 http://www.st.ryukoku.ac.jp/~kjm/security/memo/teiban.html
- 426 http://www.google.co.jp/url?sa=t&rct=j&q=rar gpu password recovery&source=web&cd=3&ved=0CDEQFjAC&url=http://d.hatena.ne.jp/hideakii/20100824/1282612787&ei=PS-ETrPUGI3RmAW5ur2UCw&usg=AFQjCNH60AKOgwHUyrfSCNQ4T-wmn9RxgQ
- 320 http://www.google.com/search
- 309 http://www.google.co.jp/
- 299 http://tatsuya.info/wp
- 258 http://www.google.co.jp/search?hl=ja&lr=lang_ja&tbs=lr:lang_1ja&q=ReiserFS+Windows&aq=f&aqi=g1&aql=&oq=&gs_rfai=
