どうも、みむらです。
続けて フォレンジック200の問題である
「削除されているファイルの名前は何ですか?」について解説いたします。
問題ファイルとして NTFS の MFT (Master File Table) の情報が渡されます。
MFT には記録媒体上のファイルの情報が入っており、
(ファイル名やファイルの記録媒体上の場所、作成・編集時間などが記録されます)
このファイルを解析することにより、
削除したファイルを求めるというものになります。
一般にコンピュータ上のファイルの削除というものは、
記録媒体上から実際に消しているわけではなく、
MFT 上から情報を消すか、”削除した” というフラグを立てる
という動作になります。
ですので、後者であれば MFT を探れば削除したファイルを戻すことができますし、
前車であってもディスク内を探せば見つけることが出来ます。
ただし、消したファイルが使用していた領域が、
別のファイルに使用された場合は当然元の中身は消えてしまいますので
復元できなくなります。
閑話休題
この問題の場合は MFT の情報が渡されますので、
”削除した” というフラグが立っているファイルのファイル名を見つけることが
解法となります。
今回使用したのは “MFTDump” というツールです。
http://malware-hunters.net/2012/09/13/mftdump-v-1-3-0-released/
簡単に言えば MFT の情報を解析して、表にして出してくれるツールとなります。
問題のファイルを先ほどのツールに与えますと、次のような表が出力されます。
あとは、 “Deleted” が 1 になっているファイルを探すだけです。
というわけで、答えが求まります。
答え: SkyhookParser.exe