アーティファクトエクスプローラーの “エビデンス” 及び “詳細” ペインの “リカバリー方法” の項目で、”カーブされた” と表示されているため、現存するファイルではない（ファイルシステム管理外のファイル）と判断しましたが、ファイルシステムエクスプローラーでは現存するファイルとして表示されています。

現存するファイル（ファイルシステムで管理されているファイル）であるにもかかわらず、”カーブされた” と表示されるのは何故ですか？

AXIOM は仕様上、拡張子とファイルシグネチャーが合致しないファイルを、全て “カーブされた” とみなします。

AXIOM Process での処理時に、現存するファイルであっても拡張子とファイルシグネチャーが合致しないファイルを検知した場合、AXIOM は該当ファイルに対し（AXIOM Process の “アーティファクト選択” の対象に則って）カービング処理を実施します。カービングの結果、検出されたファイルシグネチャーに則り、該当ファイルを（ドキュメントや画像などの）指定のファイルタイプに分類しますが、カービング処理を経ているため “リカバリー方法” には “カーブされた” と表示されます。

本件は AXIOM の仕様であるため、解消方法・回避方法は存在しません。

一方で、”リカバリー方法” が “カーブされた” と表示されたファイルについて、それが現存するファイルであることを確認する最も確実な方法として、

• “詳細” ペインの [エビデンス情報] > [ソース] をクリックし、ファイルシステムエクスプローラで該当ファイルの状態を確認する

があります。

他にも以下の情報から、該当ファイルがファイルシステムで管理されているファイルであることを確認することが出来ます：

• 以下の日時情報を有するか
  • ファイルシステムが作成された日付/時間
  • ファイルシステムが最後に変更された日付/時間
  • ファイルシステムに最後にアクセスがあった日付/時間
• [エビデンス情報] > [場所] の、”File Offset” に続く数値が “0”（カービング元のファイルの先頭）であるか
  • “File Offset” に続く数値が “0” 以外であっても、[エビデンス情報] > [ソース] が “$MFT” であれば、そのファイルは “常駐ファイル” であり、ファイルシステムで管理されているファイルであるとみなされます。