データユニット解析モードは、調査員が個々のデータユニットの内容を確認することを可能とする。 データユニットはデータを格納するために用いられているディスク領域を示す一般的な用語である。 データユニットは、各ファイルシステムによって異なった名称(例: フラグメント、クラスタなど)で呼ばれている。このモードは削除されたデータの復元や解析を行なう上で非常に有用である。
特定のアドレスの内容を表示するためには、左側にあるテキストボックスにそのアドレスを入力する。 デフォルトでは、1つのデータユニットのみが表示される。複数の連続するユニットを表示したい場合は、下にあるテキストボックスに表示させたい数を入力すること。
ファイルシステムのイメージから割り当てられていない領域のデータを取り出して、そこから削除された内容を解析するといったことは共通的に行なわれる。 TASK の「dls」ツールにより、データの取得が可能である。興味深いデータが「dls」ファイルで確認できたら、次はそのデータのオリジナルのイメージにおける位置を特定して、その周辺のデータを確認することである。 これを行なうには、単純にデータが発見されたデータユニットを計算し(興味深いデータのオフセットをデータユニットのサイズ(これはImage Detailsで確認できる)で割り算すればよい)さえすればよい。 そのアドレスを元々のテキストボックスに入力して、UnallocatedのAddress Typeを選択すれば良い。これにより、元々のイメージにおける位置を確認することができる。
Autopsy が「dls」のイメージを確認できる場合は、Load Unallocatedボタンを押すことで、いつでもその内容を確認することができる。これによりファイル中の任意のデータユニットの調査が可能である。
Lazarus は TCT に含まれているツールである。 これはデータのチャンクを解析し、ファイルのタイプの特定や、tries to group consecutive types together. Lazarus は出力に 1 からはじまる通番を付与する。 そのため、Lazarus によって指定されたデータユニットを表示させる際には、番号から 1 を引かずにそのままチェックボックスを選択すれば良い。
Ok ボタンを押すことで、ウインドウの右側に指定したアドレスの内容が表示される。
Allocation List リンクは各アドレスの割り当て状態を 500 ユニット単位に表示する。
ユニットのアドレスが入力されるとその内容が右側に表示される。データを希望する形式(文字列/16進ダンプ/ASCII)で表示させるためにフィルタを利用することも可能である。
レポートを生成することで、ユニットやメタデータに関する内容を記録のために保存することが可能である。 内容をローカルに保存するには、Export Contentsボタンを押す。 Add Note ボタンにより、後で参照を容易にするために、このユニットに関するコメントを付加することが可能となる。
ファイルタイプも表示される。これは TASK の「file」コマンドにより認識されたものである。
Autopsy はユニットが割り当てられているメタデータ構造体を特定し、アドレスとともにファイル名も表示しようとする。この処理を FAT システムで行なうと非常に時間がかかるため、デフォルトでは解析中にこの処理は行なわれない。
TASK および Autopsy は FAT イメージを扱う際にクラスタを利用せず、セクタのみを利用する。 これは FAT の場合、ファイルシステムに多くのセクタが存在するまでは、クラスタを利用しないためである。 データユニットの位置を指定するためにクラスタが用いられた場合、FAT やセカンダリ FAT において、セクタの位置を特定する方法がなくなってしまう。そのため、位置を特定する際には常にセクタを利用する。 NTFS ではクラスタによる位置の指定方法を変更しており、この問題はなくなっている。 詳細については TASK のドキュメントを参照のこと。