◆目的
ファイル カービングは、ファイル メタデータがない場合に、未割り当てのハード ディスク領域からファイルおよびファイルの断片を回復する技術です。Linux ファイル システム上での SSD ファイル カービングは、フォレンジック ツール Autopsy を使用して実行されます。
◆概要
Autopsy ツールに慣れ、TRIM 機能が無効になっている場合に SSD 上の Linux ファイル システムからデータを回復する方法を理解する
1,
Autopsy 4.14.0をダブルクリックして、アプリケーションを起動します。
Autopsyのメイン ウィンドウとそのようこそウィンドウが開きます。
Autopsy の「ようこそ」ウィンドウで「新規症例」オプションをクリックします。
2,
新しいケース情報]ウィンドウが開き、ケース名とベース ディレクトリの入力を求められます。ベース ディレクトリは、ケース データが保存される場所です。識別目的に応じてケース名を入力できます。このラボでは、ケース名をSSD File Carving (Linux File System)として割り当てます。
症例データは、デスクトップにあるImage File Analysisフォルダーに保存します。したがって、このフォルダーをベース ディレクトリとして割り当て、[次へ]をクリックします。
3,
「オプション情報」セクションが表示されます。事件番号と審査官の詳細を入力します(ここでは、事件番号を101と入力しています)。「審査官」セクションに詳細を入力できます。「完了」をクリックします。
4,
アプリケーションがケースを作成するのに少し時間がかかります。続いて、「データ ソースの追加」ウィンドウが表示され、「追加するデータ ソースのタイプを選択」セクションが表示されます。[ディスク イメージ] または [VM ファイル]オプションが選択されていることを確認し、[次へ]をクリックします。
5,
[データ ソースの選択]セクションが表示されます。[参照]をクリックします。
6,
「開く」ウィンドウが表示されます。C:\CHFI-Tools\Evidence Files\Forensic Imagesの場所に移動し、ファイルLinux_Evidence_SSD.ddを選択します。「開く」をクリックします。
7,
[データ ソースの選択]セクションの[パス]フィールドにLinux_Evidence_SSD.ddファイルへのパスが表示されます。「次へ」をクリックします。
8,
「データ ソースの追加」ウィンドウに「取り込みモジュールの構成」セクションが表示されます。このセクションには、チェックされたオプションのリストが含まれています。要件に応じてオプションを選択してください。これらのオプションをデフォルトに設定したままにすることもできます。「次へ」をクリックします。
9,
[データ ソースの追加]セクションが表示され、次のメッセージが表示されます。データ ソースがローカル データベースに追加されました。ファイルは分析中です。「完了」をクリックします。
※Autopsy ツールは画像の分析に時間がかかります。
10,
ツールのメイン ウィンドウが表示されます。ウィンドウの左側のペインで「データ ソース」ノードを展開します。[データ ソース]オプションには、分析したイメージ ファイルの名前がリストされます (この場合はLinux_Evidence_SSD.dd )。
イメージ ファイル名 (ここではLinux_Evidence_SSD.dd ) をクリックして、ツール ウィンドウの右側のペインにその内容を表示します。これには、必要なオペレーティング システム データがすべて含まれています。
※Autopsy は、イメージのスキャン中に仮想マシンのリソースのほとんどを利用します。スキャンが完了するまで、マシンが応答しなくなる可能性があります。スキャンが完了するまではマシンにアクセスしないことをお勧めします。
11,
イメージ ファイルには、Linux システムで使用されるファイル、プロセス、サービス、ツールなどに関連するデータを保存するフォルダーが含まれています。
目標は、彫刻されたファイルを取得することです。したがって、左側のペインで証拠ファイル (つまり、Linux_Evidence_SSD.dd ) をクリックした後、 Carved Filesフォルダーがウィンドウの右側のペインにロードされるまで 10 ~ 15 分間待つ必要があります。
※上のスクリーンショットでわかるように、数分間待機した後、アプリケーションによって Carved Files フォルダーがウィンドウの右側のペインにロードされました。
12,
次に、 Carved Filesの内容を表示します。ウィンドウの右側のペインにあるCarved Filesフォルダーをダブルクリックして、その中に保存されている彫刻画像ファイルを見つけます。
13,
彫刻された画像ファイルの 1 つ (ここでは f0203056.jpg )をクリックすると、 Autopsy のメイン ウィンドウの下部ペインにその内容と詳細が表示されます。デフォルトでは、以下のスクリーンショットで強調表示されているように、ツールは [アプリケーション]タブに画像ファイルのコンテンツを表示します。同様に、「Hex」、「Text」、「File Metadata」、およびその他のタブをクリックすると、その下に保存されているそれぞれのデータを表示できます。
14,
選択した彫刻ファイルを復元するには、ファイルを右クリックし、コンテキスト メニューから[ファイルの抽出]を選択します。
15,
[保存]ウィンドウが開き、抽出されたファイルが保存されるデフォルトの場所が表示されます。このデフォルトの場所は、デスクトップ上に作成されたケースフォルダー内のExportサブフォルダーです。「保存」をクリックしてファイルをエクスポートします。
16,
ファイルが抽出されたことを示すポップアップが表示されます。ポップアップを閉じるか、「OK」をクリックします。
17,
ここで、エクスポートされた画像ファイルが保存されている場所に手動で移動します。場所はC:\Users\Administrator\Desktop\Image File Analysis\SSD File Carving (Linux File System)\Exportです。
18
画像ファイルは正常に復元されました。
同様に、この方法で、他の彫刻されたファイルも復元できます。
開いているウィンドウをすべて閉じます。