◆シナリオ◆
フォレンジック調査者は、システム ドライブの DD イメージを作成する方法を知っておく必要があります。
容疑者のマシンを直接検査するとデータが失われるため、容疑者のマシンのハードディスクのフォレンジック コピー/イメージを生成する必要があります。調査者は、取得した証拠ファイルに対して法医学検査を実行し、調査に役立つ可能性のある潜在的なアーティファクトを取得する必要があります。
◆目的
dd イメージは、ハードディスクまたはディスクのパーティションのビット単位のコピーであるディスク イメージ ファイルで、すべてのファイル/フォルダー、削除されたファイル、空き領域と未割り当て領域に残っているファイル、ファイル システム情報、等
このラボの目的は、Windows OS で dd ツールを使用してシステム ドライブの dd イメージを作成する方法を理解できるようにすることです。
◆概要
dd コマンドを使用したシステム ドライブ/ディスクの物理的な取得について学びます。
疑わしいディスク/ドライブを物理的に取得するには、通常、物理的な取得プロセス中に生成されたイメージを収集するために、ハードディスクやペン ドライブなどの外部データ ストレージ メディアが必要です。
ddコマンドを使用して、Windows 10 仮想マシンのプライマリ ディスク/内部ディスク ( PHYSICALDRIVE0 ) の物理取得を実行します。通常、画像を取得するには、画像を保存するための外部データ ストレージ デバイスが必要です。ただし、これはラボ環境であるため、イメージを保存するための外部ストレージ デバイスとして想定して、セカンダリ物理ディスク ( PHYSICALDRIVE1 、ラボのセットアップ中に作成) を使用しています。したがって、このディスクをこのラボでは外部ディスクとして扱います。
1.
ddフォルダーをコピーし、デスクトップに貼り付けます。
2.
Microsoft Windows で使用可能なドライブに関する情報を取得するには、 Windows PowerShellでwmicコマンドを発行します。
管理者として PowerShell を起動するには、 Windowsアイコンを右クリックし、[Windows PowerShell (管理者)]を選択します。
3.
Windows PowerShell が表示されます。コマンドwmic diskdrive list Brief /format:list を入力し、Enterを押します。
4.
cdコマンドを使用して、ディレクトリC:\Users\Admin\Desktop\ddに移動します。
5・
次に、コマンド.\dd.exe if=\.\PHYSICALDRIVE0 of=F:\Windows_Evidence_002.dd bs=512k --size --progress を入力し、Enterを押します。これにより、次のスクリーンショットに示すように、フォレンジック ディスク(このラボではF:\ )にドライブPHYSICALDRIVE0の物理イメージの作成が開始されます。
注意
フォレンジック ディスクのドライブ文字は、ラボ環境によって異なる場合があります。フォレンジック ディスクに関連付けられた文字を入力する必要があります。
6.
ツールがイメージを作成するまでには時間がかかります。イメージが正常に作成されると、次のスクリーンショットに示すように、入力レコード数と出力レコード数が表示されます。
7.
以下のスクリーンショットに示すように、フォレンジック ディスク(このラボではF:\ドライブ)に移動して、キャプチャされたdd イメージファイルを確認します.
8.
この画像は、調査員にとってリアルタイムでの検査の主な情報源になります。フォレンジック ワークステーションの種類と捜査官の要件に応じて、これらのイメージはフォレンジック ツールを通じて直接検査されるか、さらに他のフォレンジック ツール形式やブート可能なイメージに変換されます。
9・
このようにして、調査プロセス中にシステム ドライブのDD イメージを作成できます。
開いているウィンドウをすべて閉じます。