◆シナリオ◆
攻撃者は、被害者のワークステーション システムのディスク パーティションの 1 つに悪意のあるファイルを保存し、それらを実行して機密ビジネス データを盗みました。犯罪を犯した後、攻撃者は犯罪と身元が検出されるのを防ぐために、悪意のあるファイルが保存されていたディスク パーティション全体を削除しました。事態をさらに複雑にするために、攻撃者はこのパーティションを別のパーティションにマージしました。被害者は、システム上のディスク パーティションの 1 つが失われており、別のパーティションのサイズが、削除されたパーティションのサイズだけ増加していることを発見しました。
◆目的
削除されて別のパーティションにマージされたパーティションからデータを復元する方法
◆概要
次の 2 つのタスクを説明します。
- 削除されたパーティションをディスクにマージして、ディスクのボリュームを拡張します
- 削除されたパーティションを別のパーティションにマージした後に復元する
前の続きです。 2 GBの未割り当て領域をマージすることで、フォレンジック ディスク( Fドライブ、すでに118 GBの記憶領域がある) パーティションを拡張します。2 GB は、削除されたパーティションによって占有されていたスペースであるため、ディスクの管理では未割り当てスペースとして表示されます。
R-Studioを使用して削除されたパーティションを復元する方法
1,
検索バーに「ディスク管理」と入力し、Enterを押します。以下のスクリーンショットに示すように、「ハードディスク パーティションの作成とフォーマット」オプションをクリックします。
2,
[ディスクの管理]ウィンドウが表示され、ディスク 1 の2 GBの未割り当て領域と並んで、118 GB のストレージを備えたForensic Disk (F:)という名前のパーティションが表示されます。
3,
フォレンジック ディスクパーティションのボリュームを拡張するには、そのパーティションを右クリックし、コンテキスト メニューから [ボリュームの拡張…]を選択します。
4,
ボリュームの拡張ウィザードが表示されます。「次へ」をクリックします。
5,
ウィザードの[ディスクの選択]セクションが表示され、デフォルトで選択されているディスク 1 (約 2 GB)の未割り当て領域が表示されます。「次へ」をクリックします。
6,
ウィザードの最後のステップが表示され、前のステップで選択したディスクが表示されます。「完了」をクリックします。
7,
[ディスク 1]セクションでは、 2 GBの未割り当て領域が統合されたため、フォレンジック ディスク (F:)のサイズが120 GBに増加していることがわかります。
8,
「ディスクの管理」ウィンドウを閉じます。削除されたパーティションをアクティブなパーティションにマージするタスクが完了しました。ここで、このパーティションのファイルを復元します (削除され、別のパーティションにマージされました)。
9,
RStudio8.exeファイルをダブルクリックします。R -Studioポップアップが表示され、言語の選択を求められます。「英語」を選択し、「OK」をクリックします。
10,
「次へ」をクリックし、ウィザードの指示に従ってアプリケーションをインストールします。
11,
インストールの最後のステップで、「R-Studio を起動する」にチェックを入れて「完了」をクリックします。
12,
ツールの登録ウィンドウが表示されます。続行するには、 「デモ」をクリックします。
13,
ツールのメイン ウィンドウが開きます。削除されたパーティションを確認し、削除されたパーティション内のデータを復元する必要があります。削除されたパーティションを確認するには、スクリーンショットに示すように、まず既存のパーティション (ここではF: ドライブ) を選択し、ツールバーの[スキャン]アイコンをクリックします。
※
リストされたドライブ/パーティションを選択すると、上のスクリーンショットに示すように、ウィンドウの右側のペインにそのドライブ/パーティションに関連するプロパティが表示されます。
14,
「スキャン」ウィンドウが表示されます。[詳細 (スキャンの進行状況と見つかったオブジェクト。低速)]オプションが選択されていることを確認し、[スキャン]ボタンをクリックします。
15,
ツールはスキャンの実行を開始し、詳細なスキャン情報がツール ウィンドウの右側のペインに表示されます。ウィンドウの下部でスキャンの進行状況を確認することもできます。
スキャン時間は、スキャンされるドライブのストレージ容量によって異なります。
16,
スキャンが完了すると、ツールはスキャン用に選択したドライブの下 (ここではF:ドライブの下) に認識されたパーティションをリストします。
17,
F:ドライブの下で、 Recognized0としてリストされているパーティションを調べます。ツールでは、そのサイズが2 GBと表示されますが、これは不明な領域です。これは、Recognized0 が、サイズ118 GB の既存のF:ドライブにマージされ、サイズ120 GBの単一ディスク パーティションとして見えるようにした、サイズ2 GBの紛失/削除されたパーティションであることを示しています。
※
このラボでは、パーティションはアプリケーションによってRecognized0として識別されています。認識されるパーティションの番号は、ラボ環境によって異なる場合があります。
18,
o 失われた/削除されたパーティション ( Recognized0 )の内容を表示し、それをダブルクリックします。
19,
削除されたパーティションに保存されていたフォルダーの内容を表示したい場合は、そのフォルダーをクリックします。その内容がウィンドウの右側のペインに表示されます。このラボでは、Audio Filesフォルダーの内容を表示します。
20,
このタスクの目的は削除されたパーティション全体を回復することであるため、 Recognized0パーティション全体を回復します。
ウィンドウの左ペインの上部にあるRecognized0アイコンをチェックして、パーティション内のすべてのフォルダーが回復対象として選択されるようにします。次に、ツールバーの「マークを回復」をクリックします。
21,
「回復」ウィンドウが表示されます。上部の [出力フォルダー]フィールドに、復元されたパーティション データが保存される出力ディレクトリを指定する必要があります。出力ディレクトリのパスをD:\Recovered Partitionとして設定します。同じウィンドウの[メイン]タブで、要件に応じてオプションを確認し、[OK]をクリックします。
22,
[R-Studio デモ]ダイアログ ボックスが表示され、属性を削除するか設定をそのままにするかを選択するよう求められた場合は、 [復元されたすべてのファイルに回答を適用する] をオンにして、 [続行]をクリックします。
23,
R-Studio は、D:\Recovered Partition内に Root という名前のフォルダーを作成します。失われた/削除されたパーティションのデータが復元され、このフォルダー (つまりD:\Recovered Partition\Root )に保存されます。
これはツールのデモ版であるため、サイズが 256 KB を超えるファイルは回復されません。256 KB の制限を超えるファイルは回復できないことを示す R-Studio デモのポップアップが表示された場合は、スクリーンショットに示すように、 [このメッセージを再度表示しない] をオンにして、 [スキップ]をクリックします。
24,
R-Studio はファイルの回復を開始し、次のスクリーンショットに示すようなステータスを表示します。
25,
ファイルがすでに存在します (デフォルト)ウィンドウが表示された場合は、以下のスクリーンショットに示すように、「回復されたすべてのファイルに回答を適用する」をチェックし、「スキップ」ボタンをクリックします。
26,
回復プロセスが完了すると、ディレクトリD:\Recovered Partition\Rootで回復されたデータを見つけることができます。
26,
このようにして、 R-Studioを使用して、削除され別のパーティションにマージされたパーティションからデータを復元できます。
開いているウィンドウをすべて閉じます。