No.1ベストアンサー
- 回答日時:
ファイルを実行した痕跡というのは、一般にMFTの断片と実ファイルの場所を確認し、そこから目星をつけます。
まあ、ここの他の回答に、System Volume Infomationからという回答もありましたが、削除したデータはここからは検出はできませんので、ご注意下さい。(SVIは、Windowsが持つシステムの復元及び、システムボリュームの特定カタログ管理に用いられるものです。簡単に言えば指定したバックアップ情報を保持しています。そのため、それを取得していなければ、ここから情報を取り出すことはできません)
一般に、ファイルを削除する作業というのは、ファイルのインデックス情報を消して、実ファイルへのリンクを断つだけで終わりです。即ち、ファイルが保存されている場所を消去したわけではなく、リンクテーブルにある情報を何もないと変更するのですよ。そうすることで、短時間でのデータ消去と、データライトを行えるようにしています。これは、磁気ディスクの書き込み特性を利用したものです。
ちなみに、これがSSDやSDカードなどでは逆効果になりますが、これはまた別の話です。
そのため、データを消去しても実データは上書きされない限り、残ることになります。
また、後に運悪く別のデータの上書きが完了しても、磁気の特性として残留磁場が残ります。
私がよく説明に使うのは、鉛筆と消しゴムの関係です。紙に文字を書き、消しゴムで消すと、その下に筆圧による痕跡が残ります。その上に文字を書き込んでも、筆圧痕は残っているため、特別な措置をすれば、残留情報を読み取れる場合があります。ただし、残留情報は全体を復元できるとは限らないため、痕跡として扱われます。
起動したという痕跡は、MFT上の痕跡を探れば分かります。これはMaster File Tableの略で、WindowsではNTFSと呼ばれるファイルテーブルフォーマットで採用されています。これには、データの場所情報とアクセス情報(最終アクセス日)、データの更新情報、データの作成日時、ファイルサイズに関する情報と、それらをジャーナリングするためのメタ情報リンクが組み込まれています。
即ち、この断片が修復可能なら、ファイルの位置、ファイルのアクセス日などが全て判明するのです。
ちなみに、この情報がファイル消去時に消されるインデックスとなりますが、この領域はWindows上からは予約テーブルとなっており、痕跡を消すソフトをWindows上から実行しても、この領域の情報を改変することは基本的にはできません。(Windows以外のOSからパーティション全体を消去するソフトを実行した場合のみ残留磁場も消去可能です)
そのため、痕跡を検出しやすいという特性があるのです。
よって、実ファイルが見つからなくとも、起動した形跡やファイルのサイズなどなら、見つかる可能性が高いのです。まあ、削除後のファイルも確実に捉えたのだと思います。
尚、高度なデータの抽出(磁束抽出)は、磁気特性を寄り細かく識別できる装置が必要です。そのため、自宅で簡単に取り出すことはできません。ただ、削除されたファイルを抽出するだけなら、ファイナルデータなどそういうソフトでも、上書き処理がされていない前提なら可能です。
最後に、これはフラッシュメモリ(SDカードやSSD)に対して有効な対処ではありません。
あくまで、磁気ディスク(ハードディスク)が対象であることに注意して下さい。まあ、SSDでこのウィルスに感染し、好き放題やられるとTrimが有効だと手のつけようがないです(SSDではTrimが無効だとプチフリーズの原因になります)。痕跡も残らないですから・・・。
この回答への補足
詳しい説明ありがとうございます。
レスが遅くなり、大変済みません。
長文に不慣れなもので、基本的な部分で、ちょっと分らない処があるのですが。
>一般に、ファイルを削除する作業というのは、ファイルのインデックス情報を消して、実ファイルへのリンクを断つだけで終わりです。
MFTの説明後の
>ちなみに、この情報がファイル消去時に消されるインデックスとなりますが、
ファイルのインデックス情報とMFTは同じなのですか?
>痕跡を消すソフトをWindows上から実行しても、この領域の情報を改変することは基本的にはできません。
同じなら 初めから遠隔操作は、痕跡を消すことに失敗していたって事ですよね。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- ドメイン・サーバー・クラウドサービス 遠隔操作でiPhoneのカメラを起動する方法はありますか? 1 2022/05/09 14:29
- ハッキング・フィッシング詐欺 マイクロソフトを名乗るウィルスについて教えてください(詳しい方希望) 5 2022/11/28 14:30
- その他(自然科学) 宇宙と顕微鏡 2 2022/07/31 14:45
- PDF Adobe Acrobat Proを使うとPDF上の文字を削除できますが、ツール等を使うことによって 2 2023/03/08 04:38
- マウス・キーボード real vnc viewer で遠隔先で操作が出来ない。 2 2023/07/24 15:00
- 戦争・テロ・デモ なぜ、ウクライナの軍事基地で黒魔術儀式が行われていたのですか? 11 2022/06/09 09:06
- その他(パソコン・周辺機器) chromeデスクトップを利用しております。 この度遠隔される側のパソコンを変えることになりました。 1 2022/11/01 08:08
- パチンコ・スロット パチンコの遠隔操作? 2 2023/06/11 00:22
- 戦争・テロ・デモ 無人機とか遠隔操作で操作してせこくないですか?男なら正々堂々前線に突撃しましょう。 3 2023/02/21 21:43
- 教えて!goo 津波男の投稿はなぜフリートークカテゴリーにしないのでしょうか? フリートークカテゴリーなら削除されず 4 2022/07/21 12:40
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
メモ帳→ワード
-
拡張子MGRのファイルをパソコン...
-
書類にパンチで4つ穴をあける方法
-
リングファイルのとじ具だけ買...
-
2.5インチのHDDを外付HDDにした...
-
ファイルとファイルの見出しに...
-
タンスの引き出しの外し方を教...
-
仕事メモを整理・保存したい
-
パンチの穴あけがうまくいかな...
-
クリアファイル
-
クリアファイルとクリアホルダ...
-
そろばんの段位証書が入る額縁...
-
Win10(32bit)上でExcel2013(32b...
-
ダイヤル式の郵便ポストをつけ...
-
紙を挟む透明の硬いビニール
-
インスタ「ノートを入力...」の...
-
システム手帳のゆくすえ
-
テプラのテープの裏紙 指で簡単...
-
その日が土曜日だった場合、明...
-
先週・今週と言うよう週の切れ...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
メモ帳→ワード
-
書類にパンチで4つ穴をあける方法
-
拡張子MGRのファイルをパソコン...
-
OneDriveの同期ができません。...
-
パンチの穴あけがうまくいかな...
-
ルーズリーフの提出
-
クリアファイルとクリアホルダ...
-
リングファイルのとじ具だけ買...
-
リングファイルについている用...
-
デスクトップにあったファイル...
-
割り印がうまく押せません。
-
ICレコーダで録音したデータ...
-
「データエラー(CRCエラー)」対...
-
.ks拡張子のファイルを開きたい...
-
VBAしか使用しないExcelのファ...
-
ルーズリーフの使い方
-
そろばんの段位証書が入る額縁...
-
A4書類のホッチキス留めはあ右...
-
稟議書など紙で回す方法について
-
紙を挟む透明の硬いビニール
おすすめ情報