第１の試み 「EnCaseのエミュレーションで別OSにマウント」

何をやったのかは id:hideakii さんの日記を参考

■スナップショットを含むボリュームの仮想的なマウント
http://d.hatena.ne.jp/hideakii/20091004/1254610660

EnCaseはディスクイメージをエミュレーションでマウントする機能があります。*2
スナップショットが取られたHDDをマウント後にvssadminでシャドウコピーを確かめたけど、何も表示されずというわけで、終了・・・*3

第２の試み

cipherコマンドで未割り当て領域をすべてワイプした状態でも、元のデータがHDDに存在することが判明。
実際には、MFTにデータが含まれていた。でも、シャドウコピーを作成した時点ではMFTにデータがないので、どういう条件でそうなるのか調べてみた。

調べた方法：

shadowを削除 (初期状態に戻した)
cipher /w   (未割り当て領域を確実に消した)
1000byteのテキストデータを作成(hoge)
ドライブEに置く
スナップショットを取る (MFTにhogeのレコードが入るという仮説)

結果
・MFTにはデータそのものはないが、hogeのエントリはある (FILE0...........短い名前............長い名前)

この時点ではMFTに出たは存在しない。元のファイルのデータ領域が別の何かで上書きされるときにMFTに移動すると仮定して検証続行。

テキストの内容を変更して保存(fuga)
MFTを確認すると、hogeのデータがそのまま保存されると予測

結果
・上書きされるタイミングで元データがMFTへ移動
・fugaに書き換えたという更新MFTにエントリは存在せず

スナップショットの対象となったファイルのデータは未割り当てに存在できる場合は未割り当て領域に存在し続けます（ファイルの削除だけだとMFTに移動しない感じだった。これはちゃんと検証していないです）
上書き保存、ワイプなどの操作を行い、データが元々存在していた領域に存在できなくなった場合はMFTへ移動します

ここまでで勉強会終了

完全な走り書き

上に書いているのも走り書きなんだけど・・・

・mftのファイルはスナップショットを取るたびに作成される。
スナップショットの差分がファイルに保存される

・古いデータ（hogeのデータ）そのものが小さいファイルに移動
新しいスナップショット(fugaのエントリ)が大きいファイルに追記された これは賢い（・∀・）!!

・古いスナップショットと新しいスナップショットの差分ファイルの作成の動作だけど、
実は古いスナップショットがそのまま、差分ファイルになっている。（ファイル作成時刻で確認）

・初期のスナップが取られたときに、どの範囲の情報がスナップショットが含まれているのか？←個々が不明
この中の情報をうまく活用できるとLiveでなくても、昔のスナップショットのディスクを再現可能。【急募】スナップショットパーサー www

未割り当てにあるファイルも現状のHDDを直接見るよりも、あわせて見た方が詳細な情報が取得できる気がする*4

あ〜、説明がうまくいかない orz

上の続き

Snapshotが作られた時点に存在するすべてのファイルは復元可能なんだから、現状＋MFTみれば、Snapshotを取ったデータが取れるのは当然なんだけど・・・
どの程度のファイル情報がMFTに格納されているか不明〜
Snapshotを作成したあとで作成したファイルは現状のディスクを漁るしかないわけだ。
Snapshot1を作成し、色々操作をした後でSnapshot2を作成した場合だと、Snapshotを取る間のデータはMFTには存在せず、現状のディスクを漁るしかない。それにそこにあるかどうかもわからない。

ところで、hogeのデータのあとにfugaを追記した場合

今回はhoge のデータを全部fugaに書き換えたけど、 hogeのデータのあとにfugaを追記した場合はMFTに格納するのかな？？ それだと、定期的に出力されるログがあるディスクのスナップショットを定期的に取ったらあっというまにやばいことになりそう。
うまくファイルの差分だけ保存するのかな？

今回の参考にならなかった参考ページ

シャドウコピーのLiveフォレンジックについて
http://forensicsfromthesausagefactory.blogspot.com/2009/08/vista-volume-shadow-copy-issues.html
https://blogs.sans.org/computer-forensics/2008/10/10/shadow-forensics/