◆シナリオ◆
ストレージ デバイスからファイルを取得し、ファイル システムを分析し、そこからデータを収集する方法を理解する必要があります。
NTFS は、さまざまなデバイスのデフォルトのストレージ形式になっています。ユーザーがデータを隠すのに役立つ圧縮や暗号化などの機能をサポートしています。したがって、調査者はこの形式がどのように機能するかについての深い知識を必要とします。
◆目的
NTFS (New Technology File System) は、Windows NT オペレーティング システムがハード ドライブ上でファイルを保存および取得するために使用するファイル システムです。
この目的がNTFS 用の DiskExplorerを使用して NTFS ファイル システムを分析する方法
◆概要
DiskExplorer for NTFSツールに慣れ、生のフォレンジック イメージをアプリケーションにインポートすることで NTFS ファイル システムを調査し、そこから 16 進データをコピーする方法を理解するのに役立ちます。
1、
Setup.exe をダブルクリックしてセットアップを起動し、ウィザードによるインストール手順に従ってアプリケーションをインストールします。
2,
アプリケーションを起動するには、デスクトップにあるDiskExplorer for NTFSショートカット アイコンをダブルクリックします。
スクリーンショットに示すように、DiskExplorer for NTFSのメイン ウィンドウが表示されます。
3,
フォレンジック イメージをこのアプリケーションにインポートします。「ファイル」に移動し、「画像…」を選択します。
4,
「ドライブとして開くファイルを選択してください…」ウィンドウが表示されます。[ファイルの種類]ドロップダウン リストで、 [すべてのファイル ( . )]を選択し、 C:\CHFI-Tools\Evidence Files\Forensic Imagesに移動し、Windows_Evidence_001.ddを選択して、[開く]をクリックします。
5,
イメージ ファイルの詳細が 2 つのセクター (有効ブートセクターと無効ブート セクター)に表示されます。
6,
ツールバーの[セクター]アイコンをクリックするか、 [ジャンプ] --> [セクター]に移動して特定のセクターを表示します。
7,
[セクターに移動]ウィザードで、[セクター]または[バイト]セクションに選択した16進値 (ここでは、[セクター] セクションに16 進値を00000002としました) を入力して新しい位置にジャンプし、 [ OK]をクリックします。
8,
次のスクリーンショットに示すように、指定されたセクターが表示されます。
9,
[表示] --> [16 進数]をクリックするか、F3 キーを押して、選択したセクターの 16 進数の値を表示します。
10,
以下のスクリーンショットは、選択したセクターの16 進ビューを示しています
11,
後で参照できるように、必要な 16 進データ全体をコピーできます。データ全体をコピーするには、[編集] --> [すべて選択]に移動します。
12,
次のスクリーンショットに示すように、16 進数データ全体が強調表示されます
13,
「編集」に移動し、「ファイルにコピー…」をクリックして、さらに処理するために証拠ファイルをコピーします。
14,
[コピー]ポップアップ ウィンドウで、ファイルの保存先の場所を選択し、イメージ ファイルの名前を指定します。プロンプトの上部に、作成される画像のサイズが表示されます。「保存」をクリックします。
このラボでは、デスクトップにRuntime Disk Explorer Imageという名前のフォルダーを作成し、ファイルをRDEM.imgという名前でこの場所に保存します。
15,
[確認]ポップアップで、 [いいえ]をクリックして画像を 1 つのファイルに保存します。
16,
アプリケーションは画像ファイルのコピーを開始します。このプロセスの進行状況は、以下のスクリーンショットに示されているように反映されます。
17,
[デスクトップ] --> [ランタイム ディスク エクスプローラー イメージ]ディレクトリに移動して、 NTFS ファイル システムを含むイメージ ファイル (ここでは、Windows_Evidence_001.dd ) から作成されたカスタマイズされたイメージ (ここでは、 RDEM.img ) を確認します。
18,
開いているウィンドウをすべて閉じます。