複数あるが、取り急ぎの場合はHKLM\SYSTEM\ControlSet001(or 002) Enum\USBSTOR\Disk&Ven_&Prod_USB_DISK_2.0(or 3.0)&Rev_PMAP 以下にシリアル番号で始まるキー HKLM\SYSTEM\MountedDevices 以下に \DOSDevices\D: などとして詳細を含むキーが記録されてい…

コマンドライン上で >for %a in (*) do certutil -hashfile %a MD5 特定のhashを持つファイルを検索する場合は、出力結果をtxtファイルにリダイレクトしてgrep - bashでやるなら、 >for i in `find ./ -type f` >do >md5sum $i >done であとはgrepに送るなり…

対象ファイルを含むディレクトリに移動して>for %a in (*) do findstr 検索文字列 %aとすると 再帰的にfindstrが実行される。 （batファイル中に記載するときは %a を %%a と%2個で書く）

http://port139.hatenablog.com/entries/2005/09/08

https://fish.minidns.net/projects/a-painter-and-a-black-cat/wiki/CTF_Forensic のキャッシュから...実行形式¶ ファイルフォーマット HEX ASCII Note ELF 7F PE(.exe .dll .ocx .scr .cpl .com .fon) 4D 5A MZ 頭の方(0x80〜0xf0のあたり)が 50 40 00 00 …

http://www.astro.keele.ac.uk/oldusers/rno/Computing/File_magic.html