◆目的
目的は、Windows ファイル システム上で SSD ファイル カービングを実行する方法
ファイル カービングは、ファイル メタデータがない場合に、未割り当てのハード ディスク領域からファイルおよびファイルの断片を回復する技術です。
◆概要
Windows 用のAutopsyツールに慣れ、TRIM 機能が SSD 上のデータ回復の可能性にどのような影響を与えるかを理解するのに役立ちます。また、TRIM 機能が無効になっている場合に、SSD 上の Windows ファイル システムからデータを回復する方法を学ぶのにも役立ちます。つまり、このラボでは Windows ファイル システム上で SSD ファイル カービングを実行します。
1,
Autopsyを使用して、Windows ベースの証拠の TRIM が有効な SSD イメージと TRIM が無効な SSD イメージを調べます。
autopsy-4.14.0-64bit.msiインストーラーをダブルクリックして、ウィザードによるインストール手順に従います。をクリックしてインストールプロセスを完了します。
2,
インストールが完了したら、「完了」をクリックしてセットアップ・ウィザードを終了します。
3,
インストールが完了したら、デスクトップ上のAutopsy 4.14.0ショートカット アイコンをダブルクリックします。
Autopsy Welcomeウィンドウが Autopsy メイン ウィンドウとともにバックグラウンドで表示されます。[ようこそ]ウィンドウで、[新しいケース]をクリックします。
4,
[新しいケース情報]ウィンドウが開き、ケース名とベース ディレクトリを入力するよう求められます。ベース ディレクトリは、ケース データが保存される場所です。識別目的に応じてケース名を入力できます。このラボでは、ケース名をSSD File Carving (Windows、TRIM 有効)として割り当てます。
5,
デスクトップに新しいフォルダー (ここではImage File Analysis )を作成し、そのフォルダーに症例データを保存します。「参照」をクリックしてこのフォルダをベース・ディレクトリとして選択し、「次へ」をクリックします。
※[選択]ダイアログ ボックスで[新しいフォルダーの作成]アイコンをクリックし、新しいフォルダーを作成できます。
6,
「オプション情報」セクションが表示されます。事件番号と審査官の詳細を入力します(ここでは、事件番号を99として指定しています)。「審査官」セクションに詳細を入力できます。「完了」をクリックします。
7,
アプリケーションがケースを作成するのに時間がかかります。ケースの作成後、[データ ソースの追加]ウィンドウが表示され、最初に[追加するデータ ソースの種類の選択]セクションが表示されます。[ディスク イメージ] または [VM ファイル]オプションが選択されていることを確認し、[次へ]をクリックします。
8,
[データ ソースの選択]セクションが表示されます。[参照]をクリックします。
9,
「開く」ウィンドウが表示されます。C:\CHFI-Tools\Evidence Files\Forensic Images の場所に移動し、ファイルWindows_Evidence_SSD_TE.ddを選択して、[開く]をクリックします。
10,
[データ ソースの選択]セクションの [パス] フィールドにWindows_Evidence_SSD_TE.ddファイルへのパスが表示されます。「次へ」をクリックします。
11,
[データ ソースの追加]ウィンドウに、チェックされたオプションのリストを含む[取り込みモジュールの構成]セクションが表示されます。要件に応じてこれらのオプションを選択してください。これらのオプションをデフォルトに設定したままにすることもできます。「次へ」をクリックします。
12,
[データ ソースの追加]セクションが表示され、次のメッセージが表示されます。データ ソースがローカル データベースに追加されました。ファイルは分析中です。「完了」をクリックします。
※
Autopsyツールによる画像ファイルの分析には時間がかかります。Autopsy ウィンドウの右下隅にステータスを表示します。解析が完了するとステータスが消えます。
13,
アプリケーションのメイン ウィンドウが表示されます。ウィンドウの左側のペインで「データ ソース」ノードを展開します。[データ ソース]オプションには、分析したイメージ ファイルの名前が一覧表示されます (この場合は、Windows_Evidence_SSD_TE.ddです)。
14,
イメージ ファイル名 ( Windows_Evidence_SSD_TE.dd ) をクリックして、ツール ウィンドウの右側のペインにその内容を表示します。イメージ ファイルには、Windows システム上で保存/使用されるファイル、プロセス、サービス、ツールなどに関連するデータを保存するフォルダーが含まれています。
※Autopsy は、イメージのスキャン中に仮想マシンのリソースのほとんどを利用します。スキャンが完了するまで、マシンが応答しなくなる可能性があります。スキャンが完了するまではマシンにアクセスしないことをお勧めします。
15,
アプリケーションのメイン ウィンドウが表示されます。ウィンドウの左側のペインで「データ ソース」ノードを展開します。[データ ソース]オプションには、分析したイメージ ファイルの名前が一覧表示されます (この場合は、Windows_Evidence_SSD_TE.ddです)。
16,
イメージ ファイル名 ( Windows_Evidence_SSD_TE.dd ) をクリックして、ツール ウィンドウの右側のペインにその内容を表示します。イメージ ファイルには、Windows システム上で保存/使用されるファイル、プロセス、サービス、ツールなどに関連するデータを保存するフォルダーが含まれています。
※Autopsy は、イメージのスキャン中に仮想マシンのリソースのほとんどを利用します。スキャンが完了するまで、マシンが応答しなくなる可能性があります。スキャンが完了するまではマシンにアクセスしないことをお勧めします。
17,
画像ファイルを展開して内容をご覧いただくこともできます。そこで、画像ノードを展開します。
ここでの私たちの目標は、彫刻されたファイルを回復することです。このツールは画像を分析するのに約 10 ~ 15 分かかり、画像から削除されたファイルや切り取られたファイルを取得しようとします。
ただし、これはTRIM 対応の SSDイメージ ファイルを証拠ファイルとして使用するケースであるため、このツールではファイルが何も刻まれていないことがわかります。したがって、これは、SSD イメージ ファイルで TRIM が有効になっている場合、ファイル カービングができないことを示しています。これで、 Autopsyに関連するすべてのウィンドウを閉じることができます。
TRIM が無効になっている SSDイメージ ファイルからのデータの取得に移ります。以下の手順では、TRIM が無効になっている場合の Windows ファイル システムでの SSD ファイル カービングについて説明します。
18,
Autopsyツールを閉じ、デスクトップにあるツールのショートカット アイコンをダブルクリックして再起動します。
Autopsyのメイン ウィンドウと、ようこそウィンドウが開きます。
「ようこそ」ウィンドウで「新規ケース」オプションをクリックします。
19,
[新しいケース情報]ウィンドウが開き、ケース名とベース ディレクトリの入力を求められます。ベース ディレクトリは、ケース データが保存される場所です。識別目的に応じてケース名を入力できます。このラボでは、ケース名をSSD File Carving (Windows, TRIM Disabled)として割り当てます。
20,
症例データは、デスクトップにあるImage File Analysisフォルダーに保存します。したがって、このフォルダーをベース ディレクトリとして選択し、[次へ]をクリックします。
[新しいケース情報]セクションでは、イメージ ファイル分析フォルダーがデフォルトで選択されています。これは、上記の手順でSSD ファイル カービング (Windows、TRIM 有効)を実行するときにこのフォルダーを選択したためです。
21,
「オプション情報」セクションが表示されます。事件番号と審査官の詳細を入力します(ここでは、事件番号を100と入力しています)。「審査官」セクションに詳細を入力できます。「完了」をクリックします。
22,
アプリケーションがケースを作成するのに少し時間がかかります。ケースの作成後、[データ ソースの追加]ウィンドウが開き、最初に[追加するデータ ソースの種類を選択]セクションが表示されます。[ディスク イメージ] または [VM ファイル]オプションが選択されていることを確認します。「次へ」をクリックします。
23,
[データ ソースの選択]セクションが表示されます。[参照]をクリックします。
24,
対象のWindows_Evidence_SSD_TD.ddファイルを選択して、[開く]をクリックします。
25,
[データ ソースの選択]セクションに、 Windows_Evidence_SSD_TD.ddファイルへのパスが表示されます。「次へ」をクリックします。
26,
「データ ソースの追加」ウィンドウに「取り込みモジュールの構成」セクションが表示されます。このセクションには、チェックされたオプションのリストが含まれています。要件に応じてオプションを選択してください。これらのオプションをデフォルトに設定したままにすることもできます。「次へ」をクリックします。
27,
「データ ソースの追加」セクションが表示され、「データ ソースがローカル データベースに追加されました」というメッセージが表示されます。ファイルは分析中です。「完了」をクリックします。
このツールによる画像の分析には時間がかかります。
28,
アプリケーションのメイン ウィンドウが表示されます。左側のペインで「データ ソース」ノードを展開します。[データ ソース]オプションには、分析したイメージ ファイルの名前が一覧表示されます (この場合は、Windows_Evidence_SSD_TD.dd )。
29,
イメージ ファイル名 (ここではWindows_Evidence_SSD_TD.dd ) をクリックして、ツール ウィンドウの右側のペインにその内容を表示します。イメージ ファイルには、Windows システム上で保存/使用されるファイル、プロセス、サービス、ツールなどに関連するデータを保存するフォルダーが含まれています。
※Autopsy は、イメージのスキャン中に仮想マシンのリソースのほとんどを利用します。スキャンが完了するまで、マシンが応答しなくなる可能性があります。スキャンが完了するまではマシンにアクセスしないことをお勧めします。
30,
目標は、彫刻されたファイルを取得することです。このツールがCarvedFilesフォルダーをロードするのに約 10 ~ 15 分かかります。CarvedFilesフォルダーをロードすると、ツールはウィンドウの右側のペインと、展開した場合はWindows_Evidence_SSD_TD.ddノードの下の両方にそのフォルダーを表示します。
31,
彫刻されたファイルを見つけるには、ウィンドウの右側のペインにあるCarvedFilesフォルダーをダブルクリックします。このツールには多数の彫刻ファイルがリストされており、ファイル名に対してナイフのアイコンと組み合わせられた十字マークによってすべて識別されます。
※彫刻されたファイルがロードされると、「削除されたファイル」オプションにもそれらのファイルが表示されます。「削除されたファイル」ノードを展開して、その下に「すべて」カテゴリを見つけます。[すべて]を選択し、右ペインのファイルのリストを下にスクロールして、彫刻されたファイルを見つけます。したがって、これらの彫刻されたファイルは、 [削除されたファイル]の[すべて]から復元することもできます。
32,
彫刻されたファイルの内容を表示するには、ファイルを選択します。その内容はツール ウィンドウの下部ペインに表示されます。ここでは、ファイルf0475952.gifを選択しました。このファイルの内容がウィンドウの下部ペインに表示されます。
※彫刻されたファイルを選択すると、ツールはデフォルトで下部ペインの [アプリケーション] タブにそのコンテンツを表示します。[16 進数]、[テキスト]、[ファイル メタデータ]、およびその他のタブをクリックして、その下に保存されているそれぞれのデータを表示することもできます。
33,
ここで、選択した彫刻ファイルを復元するには、そのファイルを右クリックし、コンテキスト メニューから[ファイルの抽出]をクリックします。
34,
[保存]ウィンドウが開き、ファイルがエクスポートされるデフォルトの場所が表示されます。このデフォルトの場所は、デスクトップのイメージ ファイル分析フォルダーに作成されたケース フォルダー内に存在するエクスポートサブフォルダーです。「保存」をクリックしてファイルをエクスポートします。
33,
ファイルが抽出されたことを示すポップアップが表示されます。ポップアップを閉じるか、「OK」をクリックします。
34,
ここで、彫刻されたイメージ ファイルが保存されている場所に手動で移動します。場所はC:\Users\Administrator\Desktop\Image File Analysis\SSD File Carving (Windows, TRIM Disabled)\Exportです。
35,
この場合、ファイルの内容は、 TRIM が無効になっているときにディスクから取得されているため、取得して表示することができました。
同様に、他の彫刻されたファイルの内容を取得して表示することもできます。
開いているウィンドウをすべて閉じます。