FTK Imager は AccessData によるオープンソース ソフトウェアであり、オリジナルの証拠に実際には変更を加えずに正確なコピーを作成するために使用されます。 オリジナルの証拠品の画像はそのままで、より速い速度でデータをコピーすることができます。
FTK イメージャは、オリジナルの証拠品の画像を作成する前と後の証拠品のハッシュを照合するのに役立つハッシュ レポートを作成する内蔵完全性チェック関数も提供します。
目次
- フォレンジック イメージの作成
- メモリのキャプチャ
- イメージ ダンプの分析
- ドライブへのイメージ マウント
- ADによるカスタム コンテンツ イメージの作成 encryption
- Decrypt AD Encryption
- Obtain Protected Files
- Detect EFS Encryption
- Export Files
まずは証拠品のイメージ コピーから作成しましょう。
フォレンジック イメージの作成
フォレンジック イメージングは、デジタル フォレンジック調査における最も重要なステップの 1 つです。 これは、ハード ドライブ全体のアーカイブまたはバックアップ コピーを作成するプロセスです。 これは、オペレーティング システムにブートするために必要なすべての情報を含むストレージ ファイルです。 ただし、このイメージ化されたディスクは、ハードディスクに適用しないと機能しません。 イメージ化プログラムを使用してドライブに開いてインストールする必要があるため、ディスクイメージファイルをハードドライブに配置しても、ハードドライブを復元することはできません。 1台のハードディスクに多くのディスクイメージを保存することができます。
FTK Imager by AccessData をインストール後に開くと、このツールが開く最初のページであるウィンドウがポップアップします。
さて、ディスク イメージを作成するために。 File > Create Disk Image.
ここで、あなたが持っているドライブに基づいたソースを選択できます。 物理ドライブは、データの保存、検索、および整理に使用される主要なストレージ ハードウェアまたはデバイス内のコンポーネントです。
論理ドライブは、一般的に物理ハード ディスク上に作成されるドライブ領域です。
ここで、イメージコピーを作成するドライブのソースを選択します。
作成するイメージのデスティネーションパスを追加してください。 フォレンジックの観点からは、別のハードディスクにコピーし、証拠品の紛失を防ぐために元の証拠品の複数のコピーを作成する必要があります。
作成するイメージの形式を選択します。 イメージを作成するためのさまざまな形式は次のとおりです:
Raw(dd): これは、追加や削除なしで作成される元の証拠のビット単位のコピーです。
SMART: Linux で使用されていたイメージ形式で、現在は一般的に使用されていません。
E01: EnCase Evidence File の略で、イメージングによく使用される形式で、
AFF と類似しています。 これは、オープンソースのフォーマットタイプである Advanced Forensic Format の略です。
ここで、画像の詳細を追加して進みます。
ここで最後に画像ファイルの保存先を追加して画像ファイルに名前を付けて、「完了」をクリックします。
保存先パスを追加したら、今度はイメージングを開始し、検証オプションをクリックしてハッシュを生成することも可能です。
ここで、イメージが作成されるまで数分待ちましょう。
イメージが作成されると、MD5 ハッシュ、SHA1 ハッシュ、および不良セクターがあるかどうかを検証するハッシュ結果が生成されます。
Capturing Memory
これは、さらなる調査のために揮発性コンテンツの内容を保存するために、不揮発性ストレージ デバイスにキャプチャおよびダンプする方法です。 ラム解析は、揮発性メモリのイメージを壊さずに正確に取得が行われた場合にのみ、成功する。 この段階では、システムが再起動されると揮発性データは存在しなくなるので、調査者は揮発性データを収集する判断に注意しなければならない。
さて、メモリのキャプチャから始めましょう。
メモリをキャプチャするには、ファイル > Capture Memoryをクリックします。
先のパスと先のファイル名を選択し、capture memoryをクリックします。
メモリがキャプチャされるまで数分待ちます。
イメージダンプの解析
ここで、FTK イメージャで取得した RAW 画像を Dump 分析してみましょう。 解析を開始するには、File> Add Evidence Item.
ここで、すでに作成したダンプファイルのソースを選択するので、ここでは画像ファイルオプションを選択し、Nextをクリックします。
Browse をクリックして、キャプチャしたイメージ ダンプのパスを選択します。
イメージ ダンプが分析部分に添付されると、イメージ ダンプのファイルの内容を含む証拠ツリーが表示されます。 これには、上書きだけでなく、削除されたデータも含まれている可能性があります。
さらに他のものを分析するために、今度はケースを右クリックして、証拠アイテムの削除
イメージをドライブにマウントする
イメージをシステム内のドライブとしてマウントするには、以下を実行します。 ファイル > イメージのマウント
Mount Image to Driveウィンドウが表示されたら、マウントしたいイメージファイルのパスを追加して、Mountをクリックします。
これでイメージファイルがドライブとしてマウントされたことがわかります。
AD暗号化によるカスタムコンテンツ画像
FTK imagerには、試験者の要求に応じて特定の種類のファイルを暗号化できる機能が備わっています。 AD 暗号化とともにカスタム コンテンツ イメージに追加したいファイルをクリックします。
選択したすべてのファイルが新しいウィンドウに表示されるので、[画像の作成] をクリックして次に進みます。
作成する証拠に必要な詳細を入力します。
ここで作成するイメージファイルの保存先を追加し、イメージファイルの名前を付けて、AD暗号化付きにチェックし、終了をクリックします。
イメージを暗号化するための新しいウィンドウがポップアップ表示されます。 パスワードを入力し、[OK] をクリックします。
有効なパスワードを入力すると、2 つの暗号化されたファイルが表示されるようになりました。
Decrypt AD1 Image
カスタム コンテンツ イメージを復号化するには、File> Decrypt AD1 Image.
Now you need to enter the password for the image file that was encrypted and click on Ok.このとき、パスワードは、暗号化されているイメージ ファイルのために入力されます。
ここで、復号化されたイメージが作成されるまで数分待ちます。
復号化したカスタムコンテンツのイメージを見るために、復号化ファイルのパスを追加して終了をクリックします。
これで正しいパスワードを使用して、復号化をすることにより暗号ファイルを見ることができるようになりました。
Obtain Protected Files
特定のファイルは回復時に保護されます。これらのファイルを取得するには、ファイル> Obtain Protected Files
新しいウィンドウが表示されたら、参照をクリックして、保護されているファイルの保存先を加え、パスワード回復とすべてのレジストリフ ァイルをクリックしOKをクリックするオプションが表示されていることを確認して下さい。
これで、保護されたすべてのファイルが一箇所に表示されます。
Detect EFS Encryption
フォルダまたはファイルが暗号化されると、FTK Imager のこの機能を使ってそれを検出することができます。
フォルダ内のファイルは、その内容を保護するために暗号化されています。
EFS 暗号化を検出するには、ファイル >Detect EFS Encryption
暗号化が検出されることを確認することができます。
Export Files
イメージ化されたファイルからファイルやフォルダを自分のフォルダにエクスポートするには、[File > Export Files]をクリックします。
これで、システムにコピーされたファイルとフォルダーの数のエクスポートの結果を見ることができました。 Jeenali Kothari は、デジタル フォレンジックの愛好家であり、技術的なコンテンツの執筆を楽しんでいます。 あなたは、ここ
で彼女に連絡することができます。