ファイルスラック領域の偽装

スラック領域というのが争点の一つらしいですね。

http://bylines.news.yahoo.co.jp/egawashoko/20140323-00033814/

関氏も多くの痕跡が「ファイルスラック領域」から出てきた、と述べた。ファイルスラック領域は、あるファイルの上に、それよりサイズの小さいファイルを上書きした場合、クラスタ内で元データが消去されずに残った部分。この領域に意図的にデータを残すことは「非常に難しい」と関証人は証言した。その理由を、次のように説明した。

「あるデータをファイルスラック領域に残したい場合、そのデータが含まれるファイルより小さいファイルを上書きすることになるが、新たに保存するファイルがHD内のどこに書き込まれるのかを、ユーザは決められない。狙った場所に上書きすることは難しい」

でも、次の手順で書き込めるんじゃ……

  1. 偽装したい内容を含む512バイト(セクタサイズ)のファイルを用意する。
    今回で言えば、「犯罪の証拠となるパス」を含んだデータ。
  2. 全く無関係のファイルを用意する。
    内容などなんでもよいが、ファイルサイズには、条件がある;
    クラスタサイズの整数倍から、少なくともセクタサイズだけ小さくなければならない。
    たとえば、NTFSで一般的な4kbクラスタなら、1バイト~3584バイトのファイルなど。
  3. (2)のファイルについて、セクタサイズの整数倍になるように末尾に0を追加する。
  4. (2)のファイルの末尾に(1)のファイルを連結する。
  5. (2)のファイルのサイズを元のサイズに戻す。

こうすると、(4)の時点で任意の内容を持つセクタをディスク上に作成できて、(5)の処理でファイル領域としてはフリーになるんじゃないかな(未確認)。どうだろう。

あと、真犯人が

「ファイルスラック」とかは知らなかったです。

最近の公判報告サイトで原理を知りましたが、そのストレージ内に以前そういうデータがあった痕跡なら、あってもおかしくないですね。

むしろ言及されていないのが不思議なこととして、ファイルスラックではない普通の削除済み領域からはあまり復元されてないのかしら?

のちに誰かがデフラグ&ゼロフィルしたのかな?

検察も弁護もファイルスラックのことばかり言うのが少しヘンだなと思います。

っていってたけど、確かに……

空き領域に痕跡を残すんなら、別にスラック領域使わなくともファイルを作って消せばいい。それが最終的にスラック領域になるかどうかは犯行には全然関係ないし、確率的にも単なる空き領域から検出される可能性のほうが高い。また、情報の関連性の証左という点では同じセクタ内に存在しているということが重要なので、スラック領域かどうかはやっぱりどうでもいい。

つまり、検察側としては「スラック領域にあった!」ではなくて、「未使用セクタにあった!」と言えば十分。なのになんで小難しいスラック領域なんてのをわざわざ持ち出してきたのか……。もしかして、この期に及んでも実は検察は技術的内容をよく理解できてなくて、ラックの報告内容をそのまま主張しているだけなんじゃあ……。

スラック領域を持っているファイルへの操作がUSNジャーナルから推測できれば強力な証拠だと思うけど、結局2つの証拠は独立のようなので意味ないし。もしかしてこれが噂の印象操作というやつなのかな。

あとまあ、反対の可能性としては、犯人は証拠隠滅のためにゼロフィル(or ランダムフィル)をしたけど、スラック領域まで気が回らなくて、実は本当に予定外の痕跡なのかもしれないね。ラックは空き領域がクリアされていることに気がついていて、スラック領域に残っていたことの重要性を訴えたい。けど検察が理解できなくて、スラック領域という単語だけ一人歩き、とか。

ゼロフィルはHDDにかなり負荷を掛けるので、フルスピードで実行した場合は使用中のユーザが気がつく可能性がある。デフラグは、この目的にはあまり有効ではないね。