LoginSignup
0
0

Module 03-02 Windows イメージのファイル システムを分析する

Posted at

◆シナリオ◆
画像ファイルの整合性をチェックしたので、今度は画像ファイルを把握する必要があります。彼らの最初のタスクは、イメージ ファイルのファイル システムを理解し、ファイルの回復を進めることです。

ハードディスクを調査するには、フォレンジック調査者がファイル システムの種類と、さまざまなツールを使用してファイル システムを分析する方法を十分に理解している必要があります。

◆目的
The Sleuth Kit を使用してファイル システム分析を学習し、実行できるように支援することです。Sleuth Kit (TSK) は、次の情報を取得するために使用されます。
・ファイルシステムの種類
・メタデータ情報
・コンテンツ情報

◆概要
The Sleuth Kit を使用したファイル システム分析について、使用されるファイル システムのタイプ、イメージ内のファイルとフォルダーの内容、イメージに関連するメタデータ情報などの情報をイメージ ファイルから取得する方法を理解するのに役立ちます。


Sleuth キットは、場所に移動し、binフォルダーを選択し、Shift キーを押しながら右クリックし、コンテキスト メニューから [ここでコマンド ウィンドウを開く]を選択してコマンド プロンプト ウィンドウを開きます。
image.png


調査に 2 つの証拠ファイルWindows_Evidence_001.ddとWindows_Evidence_002.ddを使用します( Windows_Evidence_002.ddはパーティション テーブルを表示し、Windows_Evidence_001.dd はイメージに関連付けられた情報を表示し、含まれているファイルとフォルダーを取得します)画像内)。


Windows_Evidence_002.ddに関連付けられたパーティション テーブルを表示するには、mmls「C:\CHFI-Tools\Evidence Files\Forensic Images\Windows_Evidence_002.dd」と入力し、 Enterを押します。次のスクリーンショットに示すように、イメージ ファイルに関連付けられたボリューム システムのパーティション レイアウト (パーティション テーブル) が表示されます。
image.png


同様に、イメージに関連するファイル システムの種類と OS を表示するには、「fsstat "C:\CHFI-Tools\Evidence Files\Forensic Images\Windows_Evidence_001.dd" 」と入力し、 Enterを押します。
image.png


上のスクリーンショットから、ファイル システムはNTFSで、ソース OS はWindows XPであることがわかります。


img_statコマンドを使用して、選択したイメージの詳細を表示します。「img_stat "C:\CHFI-Tools\Evidence Files\Forensic Images\Windows_Evidence_001.dd"」と入力し、Enter キーを押して詳細を表示します。
image.png


The Sleuth Kitのistatツールを使用して、メタデータ構造の詳細を表示します。


MFT ファイルの概要を表示するには、istat -f ntfs "C:\CHFI-Tools\Evidence Files\Forensic Images\Windows_Evidence_001.dd" 0と入力し、Enterを押します。
image.png

! マスターファイル テーブル (MFT) には、すべてのファイルとディレクトリのエントリがあります。したがって、他のすべてのファイルを検索する必要があります。MFT のレイアウトは、MFTのエントリ0を処理することによって決定されます。


MFTMirrファイルの概要を表示するには、istat -f ntfs "C:\CHFI-Tools\Evidence Files\Forensic Images\Windows_Evidence_001.dd" 1と入力し、Enterを押します。
image.png
! MFT エントリ1はMFTMirrファイル用で、最初の MFT エントリのバックアップ コピーを含む非常駐属性を持ちます。

10
ブート ファイルの概要を表示するには、istat -f ntfs "C:\CHFI-Tools\Evidence Files\Forensic Images\Windows_Evidence_001.dd" 7と入力し、Enterを押します。
image.png
! ブート ファイル システムのメタデータ ファイルは MFT エントリ7にあり、ファイル システムのブート セクタが含まれています。

11
ボリューム ファイルシステムのメタデータ ファイルの概要を表示するには、「istat -f ntfs "C:\CHFI-Tools\Evidence Files\Forensic Images\Windows_Evidence_001.dd" 3」と入力し、Enterを押します。
image.png
! ボリューム ファイル システム メタデータ ファイルは MFT エントリ3にあり、ボリューム ラベルおよびその他のバージョン関連情報が含まれています。

12
AttrDef ファイルの概要を表示するには、「istat -f ntfs "C:\CHFI-Tools\Evidence Files\Forensic Images\Windows_Evidence_001.dd" 4」と入力し、 Enterを押します。
image.png
! AttrDef ファイルシステム メタデータ ファイルの MFT エントリは4です。これは、属性の各タイプの名前とタイプ識別子を定義します。

13
ビットマップ ファイルの概要を表示するには、istat -f ntfs "C:\CHFI-Tools\Evidence Files\Forensic Images\Windows_Evidence_001.dd" 6と入力し、Enterを押します。
image.png
! クラスターのステータスを決定するビットマップ ファイル システム メタデータ ファイルの MFT エントリは6です。

14
BadClus ファイルの概要を表示するには、「istat -f ntfs "C:\CHFI-Tools\Evidence Files\Forensic Images\Windows_Evidence_001.dd" 8」と入力し、Enterを押します。
image.png

! NTFS は、破損したクラスタを BadClus ファイル システム メタデータ ファイルの $DATA 属性に割り当てることで、それらを追跡します。MFT エントリは8です。

15
セキュア ファイルの概要を表示するには、istat -f ntfs "C:\CHFI-Tools\Evidence Files\Forensic Images\Windows_Evidence_001.dd" 9と入力し、Enterを押します。
image.png
! セキュア ファイル メタデータ ファイルには、ファイルまたはディレクトリのアクセス制御ポリシーを定義するセキュリティ記述子が格納されます。その MFT エントリは9です。

16
TSK の fls コマンドライン ツールを使用して、ファイルとディレクトリ名の一覧を表示します。「fls -f ntfs "C:\CHFI-Tools\Evidence Files\Forensic Images\Windows_Evidence_001.dd" 」と入力し、Enter キーを押します。
image.png

17
ここで、 tsk_recoverモジュールを使用してイメージからこれらのファイルを回復します。このモジュールを実行する前に、デスクトップにRetrieved Files by SleuthKitという名前のフォルダーを作成する必要があります。

18
フォルダーを作成したら、コマンド プロンプトに戻り、コマンドtsk_recover -i raw -e "C:\CHFI-Tools\Evidence Files\Forensic Images\Windows_Evidence_001.dd" "C:\Users\Administrator\Desktop\Retrieved" を入力します。 SleuthKit によるファイル」を選択し、Enterを押します。

19
-iスイッチはイメージのタイプを表します。ddファイルを使用しているため、コマンドで指定したイメージ タイプは「raw」です。-eスイッチを入力すると、すべてのファイル (割り当て済みおよび未割り当ての) をリカバリするようツールに指示されます。
image.png 

20
ツールはフォレンジック イメージからファイルの取得を開始します。完了すると、次のスクリーンショットに示すように、回復されたファイルの数を表示するメッセージが返されます。

! 回復プロセス中に発生するエラーは無視してください。
image.png

21
取得したファイルを表示するには、デスクトップに移動し、 「Retrieved Files by SleuthKit」フォルダーを開きます。次のスクリーンショットに示すように、取得したファイル/ディレクトリを表示できます。
image.png

22
このようにして、 The Sleuth Kitを使用して、画像ファイル内に含まれるデータに関連する情報を取得し、そこからファイルとフォルダーを取得できます。

23
開いているウィンドウをすべて閉じます。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
0
0