◆シナリオ◆
ハードディスクのイメージを作成し、Autopsy を使用してイメージの分析を開始します。ファイル システムをさらに分析すると、捜査官は事件の解決に役立つ可能性のあるいくつかの重要な証拠を発見します。
ハードディスクを調査するには、フォレンジック調査者として、ファイル システムの種類と、さまざまなツールを使用してファイル システムを分析する方法を理解する必要があります。
◆目的
Autopsy を使用してファイル システム分析を学習し実行できるように支援することです。ファイル システム分析を実行すると、調査者は次の情報を判断できます。
・ファイルシステムの種類
・メタデータ情報
・コンテンツ情報
◆概要
Autopsy を使用したファイル システム分析について学びます。Autopsy でケースを作成し、アプリケーションを使用してファイル システムを調べる方法を理解するのに役立ちます。
Autopsyツールを使用して Linux イメージのファイルシステムを調べます。
1
デスクトップにImage File Analysisという名前のフォルダーを作成します。
2
Autopsyをインストールする
3
インストールが完了したら、「完了」をクリックしてセットアップ・ウィザードを終了します。
4
Autopsy Welcomeウィンドウが Autopsy メイン ウィンドウとともにバックグラウンドで表示されます。[ようこそ]ウィンドウで、[新しいケース]をクリックします。
5
[新しいケース情報]ウィンドウが開き、ケース名とベース ディレクトリを入力するように求められます。ベース ディレクトリは、ケース データが保存される場所です。識別目的に応じてケース名を入力できます。今回はケース名をLinux_Analysisとして割り当てます。
6
ベース ディレクトリを指定する前に、デスクトップ上にImage File Analysisという名前のフォルダを作成し、ベース ディレクトリのパスをこのフォルダに設定します。
7
ベース ディレクトリを設定したら、[次へ]をクリックします。
8
新しいケース情報]ウィンドウに、審査官の名前やケース番号などの詳細を指定できる[オプション情報]セクションが表示されます。審査官の名前ケース番号(1001-125)を入力します。他のオプションのフィールドに入力することもできます。オプションのフィールドに詳細を入力したら、「完了」をクリックします。
9
[データ ソースの追加]ウィンドウが表示され、 [追加するデータ ソースのタイプを選択]セクションが表示されます。ここでは、入力として提供されるデータ ソースのタイプを選択する必要があります。このラボでは、ディスク イメージを分析します。したがって、 [ディスク イメージ] または [VM ファイル]オプションを選択し、[次へ]をクリックします。
10
[データ ソースの追加]ウィンドウに[データ ソースの選択]セクションが表示され、調査するイメージの場所を選択する必要があります。[参照]をクリックします。
11
フォレンジック イメージを指定する必要がある[開く]ウィンドウが表示されます。
Linux系の証拠(Linux_Evidence_001.img)を選択して、[開く]をクリックします。
12
画像ファイルのパスを設定したら、「次へ」をクリックします。
13
「データ ソースの追加」ウィンドウに「取り込みモジュールの構成」セクションが表示されます。このセクションには、チェックされたオプションのリストが含まれています。要件に応じてオプションを選択し、「次へ」をクリックします。
14
[データ ソースの追加]ウィンドウに[データ ソースの追加]セクションが表示され、データ ソースが追加されたことが示されます。「完了」をクリックします。
15
アプリケーションはAutopsyメイン ウィンドウに結果を表示します。左側のペインで「データ ソース」ノードを展開し、イメージ ファイル ( Linux_Evidence_001.img )をクリックします。次のスクリーンショットに示すように、画像ファイルの内容が表示されます。
16
イメージ ファイル(Linux_Evidence_001.img)を展開して、その内容を確認します。イメージを展開すると、次のスクリーンショットに示すように、Autopsy によって Linux イメージのファイル システムが表示されます。
17
ファイルシステム分析の一環として、イメージに保存されているすべての必要なファイルを検査できます。このラボでは、 \etc の場所に保存されているpasswdファイルを表示します。したがって、左側のペインからetcフォルダーを選択します
18
フォルダーを選択すると、 etcに存在するすべてのファイルとフォルダーがウィンドウの右側のペインに表示されます。
19
ウィンドウを下にスクロールして、passwdファイルを選択します。
20
「テキスト」タブをクリックします。
21
Autopsy は、次のスクリーンショットに示すように、 passwdファイルに存在するすべてのテキスト (ユーザー アカウント情報) を[文字列]タブに表示します。
22
同様に、[ファイル メタデータ]、[16 進数] 、および[注釈]タブをクリックして、選択したファイルに関するその他の詳細を表示します。
23
このようにして、選択した他のすべてのファイルとフォルダーを分析して、それらに関する詳細情報を取得できます。
24
ファイル システムの検査とは別に、検査するファイルのハッシュを計算することもできます。これは、証拠の整合性を検証するのに役立ちます。このラボでは、 /home/roger/Documents 内にあるSeatPlan.xlsという名前のファイルの MD5 ハッシュを計算します。
25
このファイルの MD5 ハッシュ値を表示するには、左側のペインで[home] --> [roger] --> [Documents]を展開します。SeatPlan.xlsファイルが Autopsy ウィンドウの右側のペインに表示されます。ファイルをクリックします。
26
[ファイルメタデータ]セクションには、ファイルの作成、変更、アクセス時刻とその MD5 ハッシュ値など、選択したフォルダー/ファイルのメタデータ情報が表示されます。
27
[ファイル メタデータ]をクリックし、セクションを下にスクロールして、SeatPlan.xlsファイルの MD5 値を見つけます。
28
削除されたデータの回復とファイル拡張子の不一致の検出のラボについては、「モジュール 05 アンチフォレンジック技術の打ち破り」で説明されています。
29
調査に必要なAutopsyのすべてのオプションを詳細に検討します。
30
開いているウィンドウをすべて閉じます。