ntfsパーティションにフォレンジック対策ツールを実装しようとしています。ファイルシステムによって書き込まれないように、1GBのスペース(正確な物理的な場所)を保持する必要があります。私の考え:
- 特定の場所に1GBのファイルを作成してみてください(どのように?)。
- MFTを手動で編集し、偽のエントリを挿入して、そのゾーンを使用済みとしてマークしてみてください(どのように?)
この2つのアイデアまたは他の何かを実装する方法について何か提案はありますか?
MFT を直接編集するのは非常に危険です。ファイルシステムは物事をキャッシュするので、管理するのが本当に好きです)。
FSCTL_MOVE_FILE を使用して、1Gb ファイルの任意の部分をディスク上の目的の場所に移動することで、目的を達成できます。
このアプローチには、1 つの複雑さと 1 つの問題があることに注意してください。複雑なのは、ファイル データがまだ存在しない場所に移動する必要があることです。つまり、最初に移動先をクリアする必要があります。これは、ビットマップを読み取って、移動先を見つける必要があることを意味します。デフラグのようですね。
デフラグについて言えば、このファイルを作成すると、実行されるデフラグによって、ファイルが優先される場所から移動される可能性があります。ただ注意してください。