色々と話が出たので
ついでに、手持ちの情報のメモです。
全ファイルシステムについて濃く書かれた本って、探してみたけどないんだよねぇ〜・・・。各ファイルシステムの仕様書を探してみるしかなさそうで・・・汗。それ以前に、ファイルシステムの数が多すぎ・・・orz
◆書籍
- File System FORENSIC ANALYSIS(ISBN:0321268172)
バックナンバーで注文。技術的な解説も多少書かれているけど、個人的には・・・汗。技術的にもう少し突っ込んでもよくない?と思いました。
ハードウェア緊急レスキュー。体験版ソフトが付録でついているのが嬉しいです。どちらかというと、Forensicというよりもサルベージ。
和書で唯一「フォレンジック」という名前がついてる本。書籍の紹介にも書かれているけど「日本で唯一」の本。
◆ツール
某所でも「こんな感じ〜」とかなノリで見せましたけど。
いわずと知れた有名なForensicツール。
EnCaseと同様商用ツール。KFF(Know File Filter Database)とセットで使う。デモ版は5000アイテムまでしかForensic対象にできない。気をつけなきゃいけないのは、圧縮ファイル。展開してアイテムをカウントするらしく、JREがあるとあっという間に・・・。
Linuxで動作するフリーのForensicツール。ddでイメージ化したファイルに対して検査を行います。現在、Sleuth Kit2.01、Autopsy2.05。
Sleuth Kit1.73(汗)、Autopsy2.03入り。Forensic用だけではなく、nessus、nmapとかも入ってます(バージョンが古いけど)。
Foundstoneから提供されているコマンドラインベースのツールセット。
Windows上で動作するddなどのセット。一式あればddの実行結果をnc経由で別のサーバに転送できます。
このほかにもjstringsとかかなぁー。
KNOPPIXをベースにして必要なものを入れてRemasteringしてみるのもいいかも。