■パーティション先頭(0xFFで1回上書き)
| 抹消前 | 抹消後 | |
| | |
| ブートセクタの内容が表示されている | ブートセクタの内容が0xFFで上書きされている |
■パーティション中間(0xFFで1回上書き)
| 抹消前 | 抹消後 | |
 | |  |
| 比較のため、あらかじめ0x00で埋めておいた | 抹消前はすべて0x00だったが、0xFFで上書きされている |
■パーティション末尾(0xFFで1回上書き)
| 抹消前 | 抹消後 | |
 | |  |
| 0x00のみが表示されている。Windows 2000 / XPのNTFS形式でフォーマットしたパーティションの末尾にはブートセクタのコピーがあるのだが、Windows 2000 / XPは、通常はこの部分を保護しているらしく、ブートセクタのコピーを表示せず0x00だけを表示するようだ。Windows2000 / XPとは別のOSからこの部分を見るとブートセクタのコピーが実際にあることを確認できる | 抹消前は0x00だけだったが、ブートセクタのコピーが表示されている。パーティション先頭のブートセクタが無効な内容に改変されたとき初めて、ブートセクタのコピーが読めるようになるらしい。この結果について解説した資料は見つかっていないが、おそらく次のような理由によるものと推測できる。ブートセクタが無効な内容に改変されると、そのパーティションは壊れていると判断され、読めなくなる(開こうとすると「このディスクはフォーマットされていません」と表示される)。ダメージを受けたのがブートセクタだけであれば、パーティション末尾にあるブートセクタのコピーをパーティションの先頭に上書きすることで、パーティションを読めるようになる。このようにパーティションを復元するチャンスを残しておくために、普段はブートセクタのコピーを保護し、読めないようにしているのではないだろうか。「wipe.exe」による抹消ではブートセクタを含む全体を上書きしてしまうので、当然、ブートセクタのコピーが残っていても復元の可能性はない |
■パーティションの末尾は上書きできなかったので、末尾の1つ前と2つ前のセクタを表示してみます。
| 抹消後のパーティション末尾の1つ前 | 抹消後のパーティション末尾の1つ前 | |
 |  | |
| 末尾の1つ前も0xFFで上書きされていない | 0xFFで上書きされている。画面は省略するが、これより前のセクタは、0xFFで上書きされていた |
補足 : 100MBのパーティションを抹消した場合は、160GBの場合とは異なり、パーティション末尾の1つ前のセクタも上書きされていました。NTFSでフォーマットしたパーティションのサイズが大きい場合、末尾の1つ前にあるセクタに上書きされないようにする仕組があるのかもしれません。なおブートセクタの大きさはパーティションのサイズにかかわらず、512バイト(1セクタ)です。
Copyright (C) NORbert (Cybernetic Survival Network). All Rights Reserved.