◆目的
Autopsy を使用してファイル システム分析を学習し実行できるように支援することです。ファイル システム分析を実行すると、調査者は次の情報を判断できます。
・ファイルシステムの種類
・メタデータ情報
・コンテンツ情報
◆概要
Autopsy を使用したファイル システム分析について学びます。Autopsy でケースを作成し、アプリケーションを使用してファイル システムを調べる方法を理解するのに役立ちます。
Autopsyツールを使用して Linux イメージのファイルシステムを調べます。
1
デスクトップにImage File Analysisという名前のフォルダーを作成します。
2
Autopsyをインストールする
3
インストールが完了したら、「完了」をクリックしてセットアップ・ウィザードを終了します。
4
Autopsy Welcomeウィンドウが Autopsy メイン ウィンドウとともにバックグラウンドで表示されます。[ようこそ]ウィンドウで、[新しいケース]をクリックします。
5
[新しいケース情報]ウィンドウが開き、ケース名とベース ディレクトリを入力するように求められます。ベース ディレクトリは、ケース データが保存される場所です。識別目的に応じてケース名を入力できます。今回はケース名をLinux_Analysisとして割り当てます。
6
ベース ディレクトリを指定する前に、デスクトップ上にImage File Analysisという名前のフォルダを作成し、ベース ディレクトリのパスをこのフォルダに設定します。
7
ベース ディレクトリを設定したら、[次へ]をクリックします。
8
新しいケース情報]ウィンドウに、審査官の名前やケース番号などの詳細を指定できる[オプション情報]セクションが表示されます。審査官の名前ケース番号(1001-125)を入力します。他のオプションのフィールドに入力することもできます。オプションのフィールドに詳細を入力したら、「完了」をクリックします。
9
[データ ソースの追加]ウィンドウが表示され、 [追加するデータ ソースのタイプを選択]セクションが表示されます。ここでは、入力として提供されるデータ ソースのタイプを選択する必要があります。このラボでは、ディスク イメージを分析します。したがって、 [ディスク イメージ] または [VM ファイル]オプションを選択し、[次へ]をクリックします。
10
[データ ソースの追加]ウィンドウに[データ ソースの選択]セクションが表示され、調査するイメージの場所を選択する必要があります。[参照]をクリックします。
11
フォレンジック イメージを指定する必要がある[開く]ウィンドウが表示されます。
Linux系の証拠(Linux_Evidence_001.img)を選択して、[開く]をクリックします。
12
画像ファイルのパスを設定したら、「次へ」をクリックします。
13
「データ ソースの追加」ウィンドウに「取り込みモジュールの構成」セクションが表示されます。このセクションには、チェックされたオプションのリストが含まれています。要件に応じてオプションを選択し、「次へ」をクリックします。
14
[データ ソースの追加]ウィンドウに[データ ソースの追加]セクションが表示され、データ ソースが追加されたことが示されます。「完了」をクリックします。
15
アプリケーションはAutopsyメイン ウィンドウに結果を表示します。左側のペインで「データ ソース」ノードを展開し、イメージ ファイル ( Linux_Evidence_001.img )をクリックします。次のスクリーンショットに示すように、画像ファイルの内容が表示されます。
16
イメージ ファイル(Linux_Evidence_001.img)を展開して、その内容を確認します。イメージを展開すると、次のスクリーンショットに示すように、Autopsy によって Linux イメージのファイル システムが表示されます。
17
ファイルシステム分析の一環として、イメージに保存されているすべての必要なファイルを検査できます。このラボでは、 \etc の場所に保存されているpasswdファイルを表示します。したがって、左側のペインからetcフォルダーを選択します
18
フォルダーを選択すると、 etcに存在するすべてのファイルとフォルダーがウィンドウの右側のペインに表示されます。
19
ウィンドウを下にスクロールして、passwdファイルを選択します。
20
「テキスト」タブをクリックします。
21
Autopsy は、次のスクリーンショットに示すように、 passwdファイルに存在するすべてのテキスト (ユーザー アカウント情報) を[文字列]タブに表示します。
22
同様に、[ファイル メタデータ]、[16 進数] 、および[注釈]タブをクリックして、選択したファイルに関するその他の詳細を表示します。
23
このようにして、選択した他のすべてのファイルとフォルダーを分析して、それらに関する詳細情報を取得できます。
24
ファイル システムの検査とは別に、検査するファイルのハッシュを計算することもできます。これは、証拠の整合性を検証するのに役立ちます。このラボでは、 /home/roger/Documents 内にあるSeatPlan.xlsという名前のファイルの MD5 ハッシュを計算します。
25
このファイルの MD5 ハッシュ値を表示するには、左側のペインで[home] --> [roger] --> [Documents]を展開します。SeatPlan.xlsファイルが Autopsy ウィンドウの右側のペインに表示されます。ファイルをクリックします。
26
[ファイルメタデータ]セクションには、ファイルの作成、変更、アクセス時刻とその MD5 ハッシュ値など、選択したフォルダー/ファイルのメタデータ情報が表示されます。
27
[ファイル メタデータ]をクリックし、セクションを下にスクロールして、SeatPlan.xlsファイルの MD5 値を見つけます。
28
削除されたデータの回復とファイル拡張子の不一致の検出のラボについては、「モジュール 05 アンチフォレンジック技術の打ち破り」で説明されています。
29
調査に必要なAutopsyのすべてのオプションを詳細に検討します。
30
開いているウィンドウをすべて閉じます。