FTK Imagerとは
フォレンジック ツール キットの略。
記憶媒体の中身を丸々保存できたり、逆に覗いたりできるらしい。
今回は、VMWareのイメージファイルを展開してみる。
右上のFileからAdd Evidence Itemを選択。
これで、FTKで読み込むストレージ(あるいはイメージ)を選択する
今回はImage Fileを選択する。
一番上のPhysicalは物理、つまりCドライブやEドライブを丸々、そのまま見るというイメージ。
Image FileはCドライブなどに入っているファイルを選択するもの。
そのファイルがドライブを圧縮したようなファイルである場合、それを読み込める。
Browseからファイルを選択する。
今回はVmwareのイメージファイルとなっている。
ここで、Vmwareでホストをエクスポートすると、ドライブは分割されて保存される。
それが画像の001から014とファイル名に入っているもの。
これを統合してまとめているのが選択しているファイルである。判別方法は、通し番号がなく、かつ容量が極端に小さいもの。こいつの中身には「001から014までを一つのストレージとして扱ってね」とシンプルに書かれている。
これを選択すれば、復元できる。
展開できた。これがストレージ丸々が出力されている状況だ。
パット見で4つのディレクトリのようなものが見える。これがパーティション。
EFIパーティションは起動時のもの。Cドライブではない。
Microsoft reservedも予約済パーティションでCドライブではない。
どデカい容量でBasic dataとあるし、多分これがCドライブ。これを見たい。
Cドライブのrootを選ぶと、ここからは見覚えのあるディレクトリ。
普段、エクスプローラーで見る箇所と変わらない。
下の方にはProgram Filesなどもある。
今回は、root直下にあるMFTファイルを確認する。
ブートした方が早いかも
するとドライブにマウントされる。
各パーティションがFドライブ~Iドライブにマウントされているのが分かる。
パーティション名から、Hドライブが仮想マシンのCドライブに相当するものだと分かる。
このマウントは一時的なものなので、電源を切ればアンマウント(解除)されるので心配はない。
エクスプローラーでHドライブを見てみる。
仮想環境のCドライブがそのままあるかのよう。
ここから直感的にファイル操作などができるので便利。
