シナリオ
調査プロセス中、フォレンジック検査官は、組織の機密データを含むいくつかのファイルのコピーの整合性をチェックする必要があります。
このために、変更された疑いのあるコピーのハッシュ値を計算し、組織の機密データが保存されている元のファイルのハッシュ値と比較する必要があります。
基本的に、調査者は、疑わしいファイルのハッシュを既存のハッシュと比較して、ファイルの整合性が保たれているかどうかを確認する必要があります。調査者はハッシュを計算して比較するためにどのツールを使用する必要がありますか?
コンピューターフォレンジック調査の専門家になるには、ハッシュの計算に使用されるツールに関する十分な知識が必要です。
目的
ファイルやテキストなどのデータに対してハッシュが実行され、ハッシュまたはチェックサムと呼ばれる固有の固定長文字列が生成されます。ハッシュを使用すると、指定されたデータの整合性を判断できます。
・MD5 計算ツールを使用して、選択したファイルの MD5 ハッシュ値を生成します。
・生成されたファイルのハッシュ値を既存のハッシュ値と比較して、ファイルの整合性を判断します
概要
ファイルのハッシュを計算し、リポジトリ (つまり、Evidence Files\Image Files\Hashes.txt) に保存されているハッシュと比較します。
環境は、Windows Server 2016で行います。
1
md5calc(1.0.0.0).msiをダブルクリックしてセットアップを起動し、ウィザードの指示に従ってアプリケーションをインストールします。
2
インストールが完了したら、「閉じる」をクリックしてインストール ウィザードを終了します。
3
証拠ファイルに移動します。
4
ファイルの MD5 ハッシュを計算するには、まずファイルを選択し、それを右クリックして、コンテキスト メニューから[MD5 計算ツール]を選択します。今回は、 MD5 ハッシュ値を計算するために画像ファイルCartoon-article.jpgを選択しています。
5
「MD5 計算ツール」ウィンドウが表示され、次のスクリーンショットに示すように、選択したファイルの MD5 ハッシュ値が表示されます。
MD5 ダイジェストを確認したら、ツールを閉じます。
ファイルのハッシュ値を比較する場合は、「比較先」セクションにそのファイルの既存のハッシュ値を入力し、ファイルのハッシュを計算します。このラボでは、複数のファイルのハッシュ値を比較して、生成されたハッシュ値が既存のハッシュ値と一致するかどうかを確認します。
6
対象ファイルのパスに移動し、Hashes.txt を開きます。このファイルには、 Image Filesにあるいくつかのイメージ ファイルのハッシュが含まれています。
2 つのファイルKitty.jpgとModel.pngのハッシュを比較します。
7
Kitty.jpgのハッシュを比較するには、ファイルに対応するハッシュをコピーします。
8
対象ファイルに移動し、 Kitty.jpgを右クリックして、コンテキスト メニューから[MD5 Calculator]を選択します。
9
MD5 計算ツールは、選択したファイルのMD5 ダイジェスト(ハッシュ値)を表示します。次に、ステップ 13でコピーしたハッシュ値を「比較対象」セクションに貼り付けます。
10
MD5 Calculator は両方のハッシュを即座に比較します。次のスクリーンショットに示すように、ハッシュが等しい場合、ファイルの整合性は損なわれていません。
「終了」をクリックしてアプリケーションを閉じます。
次のタスクは、ファイルModel.pngのハッシュを比較することです。
11
Model.pngのハッシュを比較するには、ファイルに対応するハッシュを手順6のHashes.txtからコピーします。
12
対象ファイルに移動し、 Model.pngを右クリックして、コンテキスト メニューから[MD5 Calculator]を選択します。
13
MD5 計算ツールは、選択したファイルのMD5 ダイジェスト(ハッシュ値)を表示します。ここで、手順11でコピーしたハッシュ値を「比較対象」セクションに貼り付けます。
14
次のスクリーンショットに示すように、MD5 Calculator は両方のハッシュを即座に比較し、ハッシュが一致しないことを示します。
ハッシュが一致しない場合、ファイルの整合性が疑問視されており、さらに調査する必要があります。ファイルは、攻撃のペイロードとして機能するように (または) ファイル内のデータを隠すために変更されている可能性があります。
このように、 MD5 Calculatorを使用してファイルのハッシュをチェックし、ハッシュを比較してファイルの整合性を検証できます。