こんっなとっころにぎゅうにっくがっ
じゃないけど、リビングに置いてあったはずのUSBハードディスクがデスクの脇にあるぞ。どれどれ覗いてみるか。
$ sudo dd if=/dev/sde of=dump skip=0 bs=16M count=1
するとなにやら先頭に書いてある。「Panasonic DIGA RTSC」だと。おお、なんだ、レコーダー用の外付け君かいな。迷子になったんだね。もう少し覗いてみるね。
ブロックの先頭5GB程は先の文言以外空白。で、0x162D28000 byteからに興味深いデータがあった。HEXエディタで見てもひと目でわかる、PNGファイルがそのまま転がっている様子。試しにforemostに喰わせると45枚のPNG(224x126)が復元できた。どうやら動画のサムネイルのようだ。
熱くなってきました。ディスクは暗号化されていない様子。つまり、forensicな手段を使えばAVCHDなファイルをサルベージ出来るかもっつうことだ。もっと先を覗いてみると、0x1637C0000 byteにm2tsパケットらしきものを発見。でも少し変だ。188 byteでも192 byteでもない。パケットの区切りが分からないのだ。うーんお手上げ。
D5 E4 32 0B タイムスタンプ 47 同期キャラクター「0x47」 40 00 左から3bitは順にtransport_priority_bit, payload_unit_start_indicator, transport_error_indicator 残りの13bitがPID (packet identifier)=0なので、このパケットはPAT (program association table) 14 左から2bitはtransport_scramble_control, 次の2bitがadaptation_field_control, 残り4bitがcontinuing_counter ここまでがヘッダー 00 区切り文字"0x00" 00 テーブル識別 B0 11 左から4bitを除いた0x011がセクター長、この場合は17byte 40 F2 C9 00 91 14 7E 8F 7A 0x0f7a 46 3C 03 10 0x0310 07 CE F6 91 0x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
