◆シナリオ◆
画像ファイルの整合性をチェックしたので、今度は画像ファイルを把握する必要があります。彼らの最初のタスクは、イメージ ファイルのファイル システムを理解し、ファイルの回復を進めることです。
ハードディスクを調査するには、フォレンジック調査者がファイル システムの種類と、さまざまなツールを使用してファイル システムを分析する方法を十分に理解している必要があります。
◆目的
The Sleuth Kit を使用してファイル システム分析を学習し、実行できるように支援することです。Sleuth Kit (TSK) は、次の情報を取得するために使用されます。
・ファイルシステムの種類
・メタデータ情報
・コンテンツ情報
◆概要
The Sleuth Kit を使用したファイル システム分析について、使用されるファイル システムのタイプ、イメージ内のファイルとフォルダーの内容、イメージに関連するメタデータ情報などの情報をイメージ ファイルから取得する方法を理解するのに役立ちます。
1
Sleuth キットは、場所に移動し、binフォルダーを選択し、Shift キーを押しながら右クリックし、コンテキスト メニューから [ここでコマンド ウィンドウを開く]を選択してコマンド プロンプト ウィンドウを開きます。
2
調査に 2 つの証拠ファイルWindows_Evidence_001.ddとWindows_Evidence_002.ddを使用します( Windows_Evidence_002.ddはパーティション テーブルを表示し、Windows_Evidence_001.dd はイメージに関連付けられた情報を表示し、含まれているファイルとフォルダーを取得します)画像内)。
3
Windows_Evidence_002.ddに関連付けられたパーティション テーブルを表示するには、mmls「C:\CHFI-Tools\Evidence Files\Forensic Images\Windows_Evidence_002.dd」と入力し、 Enterを押します。次のスクリーンショットに示すように、イメージ ファイルに関連付けられたボリューム システムのパーティション レイアウト (パーティション テーブル) が表示されます。
4
同様に、イメージに関連するファイル システムの種類と OS を表示するには、「fsstat "C:\CHFI-Tools\Evidence Files\Forensic Images\Windows_Evidence_001.dd" 」と入力し、 Enterを押します。
5
上のスクリーンショットから、ファイル システムはNTFSで、ソース OS はWindows XPであることがわかります。
6
img_statコマンドを使用して、選択したイメージの詳細を表示します。「img_stat "C:\CHFI-Tools\Evidence Files\Forensic Images\Windows_Evidence_001.dd"」と入力し、Enter キーを押して詳細を表示します。
7
The Sleuth Kitのistatツールを使用して、メタデータ構造の詳細を表示します。
8
MFT ファイルの概要を表示するには、istat -f ntfs "C:\CHFI-Tools\Evidence Files\Forensic Images\Windows_Evidence_001.dd" 0と入力し、Enterを押します。
! マスターファイル テーブル (MFT) には、すべてのファイルとディレクトリのエントリがあります。したがって、他のすべてのファイルを検索する必要があります。MFT のレイアウトは、MFTのエントリ0を処理することによって決定されます。
9
MFTMirrファイルの概要を表示するには、istat -f ntfs "C:\CHFI-Tools\Evidence Files\Forensic Images\Windows_Evidence_001.dd" 1と入力し、Enterを押します。
! MFT エントリ1はMFTMirrファイル用で、最初の MFT エントリのバックアップ コピーを含む非常駐属性を持ちます。
10
ブート ファイルの概要を表示するには、istat -f ntfs "C:\CHFI-Tools\Evidence Files\Forensic Images\Windows_Evidence_001.dd" 7と入力し、Enterを押します。
! ブート ファイル システムのメタデータ ファイルは MFT エントリ7にあり、ファイル システムのブート セクタが含まれています。
11
ボリューム ファイルシステムのメタデータ ファイルの概要を表示するには、「istat -f ntfs "C:\CHFI-Tools\Evidence Files\Forensic Images\Windows_Evidence_001.dd" 3」と入力し、Enterを押します。
! ボリューム ファイル システム メタデータ ファイルは MFT エントリ3にあり、ボリューム ラベルおよびその他のバージョン関連情報が含まれています。
12
AttrDef ファイルの概要を表示するには、「istat -f ntfs "C:\CHFI-Tools\Evidence Files\Forensic Images\Windows_Evidence_001.dd" 4」と入力し、 Enterを押します。
! AttrDef ファイルシステム メタデータ ファイルの MFT エントリは4です。これは、属性の各タイプの名前とタイプ識別子を定義します。
13
ビットマップ ファイルの概要を表示するには、istat -f ntfs "C:\CHFI-Tools\Evidence Files\Forensic Images\Windows_Evidence_001.dd" 6と入力し、Enterを押します。
! クラスターのステータスを決定するビットマップ ファイル システム メタデータ ファイルの MFT エントリは6です。
14
BadClus ファイルの概要を表示するには、「istat -f ntfs "C:\CHFI-Tools\Evidence Files\Forensic Images\Windows_Evidence_001.dd" 8」と入力し、Enterを押します。
! NTFS は、破損したクラスタを BadClus ファイル システム メタデータ ファイルの $DATA 属性に割り当てることで、それらを追跡します。MFT エントリは8です。
15
セキュア ファイルの概要を表示するには、istat -f ntfs "C:\CHFI-Tools\Evidence Files\Forensic Images\Windows_Evidence_001.dd" 9と入力し、Enterを押します。
! セキュア ファイル メタデータ ファイルには、ファイルまたはディレクトリのアクセス制御ポリシーを定義するセキュリティ記述子が格納されます。その MFT エントリは9です。
16
TSK の fls コマンドライン ツールを使用して、ファイルとディレクトリ名の一覧を表示します。「fls -f ntfs "C:\CHFI-Tools\Evidence Files\Forensic Images\Windows_Evidence_001.dd" 」と入力し、Enter キーを押します。
17
ここで、 tsk_recoverモジュールを使用してイメージからこれらのファイルを回復します。このモジュールを実行する前に、デスクトップにRetrieved Files by SleuthKitという名前のフォルダーを作成する必要があります。
18
フォルダーを作成したら、コマンド プロンプトに戻り、コマンドtsk_recover -i raw -e "C:\CHFI-Tools\Evidence Files\Forensic Images\Windows_Evidence_001.dd" "C:\Users\Administrator\Desktop\Retrieved" を入力します。 SleuthKit によるファイル」を選択し、Enterを押します。
19
-iスイッチはイメージのタイプを表します。ddファイルを使用しているため、コマンドで指定したイメージ タイプは「raw」です。-eスイッチを入力すると、すべてのファイル (割り当て済みおよび未割り当ての) をリカバリするようツールに指示されます。
20
ツールはフォレンジック イメージからファイルの取得を開始します。完了すると、次のスクリーンショットに示すように、回復されたファイルの数を表示するメッセージが返されます。
! 回復プロセス中に発生するエラーは無視してください。
21
取得したファイルを表示するには、デスクトップに移動し、 「Retrieved Files by SleuthKit」フォルダーを開きます。次のスクリーンショットに示すように、取得したファイル/ディレクトリを表示できます。
22
このようにして、 The Sleuth Kitを使用して、画像ファイル内に含まれるデータに関連する情報を取得し、そこからファイルとフォルダーを取得できます。
23
開いているウィンドウをすべて閉じます。