◆シナリオ◆
Linux フォレンジック ワークステーションにイメージ ファイルをマウントすることを検討します。
調査を行うためにハードドライブから収集した証拠の画像ファイルを生成します。イメージ ファイル内に存在するファイルにアクセスして検査するには、調査者はさまざまなツールを使用してイメージ ファイルをマウントする必要があります。
場合によっては、調査員が好みのツールを使用できない状況に陥ることもあります。したがって、フォレンジック調査者は、さまざまなツールを使用してさまざまなワークステーションにさまざまなフォレンジック ファイル イメージ形式をマウントする方法を知っている必要があります。
◆目的
Linux ワークステーションはさまざまなファイル システムをサポートし、フォレンジック調査の実施に役立つ高度なツールを備えています。
フォレンジック イメージ ファイルは、イメージ ファイル内に存在するファイル/フォルダーにアクセスして分析するためにドライブにマウントされます。
目的は、Linux フォレンジック ワークステーションにイメージ ファイルをマウントする方法を理解できるようにすることです。
- mount コマンドを使用して dd イメージ ファイルをマウントします。
- ループデバイスを使用して dd イメージファイルをマウントする
◆概要
Linux フォレンジック ワークステーションにイメージ ファイルをマウントする方法を説明します。
◆前提
E01 イメージを dd イメージに変換する方法について説明しました。この変換されたイメージをマウントしてその内容を表示する方法を見ていきます。
1.
ランチャー パネルから[ターミナル]アイコンをクリックして、コマンド ライン ターミナルを起動します。
2.
コマンドラインターミナルが起動します。アプリケーションをインストールするには、端末の root 権限が必要です。
したがって、sudo suと入力してEnterを押します。パスワードの入力を求められます。パスワードとして「toor 」と入力し、 Enterを押します。
ここで、次のスクリーンショットに示すように、ルート端末に入ります。
3,
Ubuntu フォレンジック仮想マシンをシャットダウンしておらず、Windows_Evidence_001.ddファイルがまだDocumentsディレクトリにマウントされている場合は、5へ
4,
マシンを再起動するとマウントされたイメージが消えるため、xmount を使用して E01 ファイルを再度変換してマウントする必要があります。したがって、「 xmount --in ewf Windows_Evidence_001.E01 /home/jason/Documents 」と入力し、 Enterを押します。このコマンドはファイルを変換し、Documentsフォルダーにマウントします。
5,
次のスクリーンショットに示すように、Windows_Evidence_001.ddファイルがDocumentsディレクトリに表示されます。
6,
次に、このイメージをマウントします。このラボでは、 /mntディレクトリ内にddという名前のディレクトリを作成し、このディレクトリにイメージをマウントします。
7,
ディレクトリを作成するには、コマンドmkdir /mnt/ddを発行します。
8,
/home/jason/Documents/にあるイメージを読み取り専用モードで/mnt/ddにマウントするには、コマンドmount -o ro /home/jason/Documents/Windows_Evidence_001.dd /mnt/dd/ を入力し、Enterを押します。
9,
これで、イメージが dd ディレクトリに正常にマウントされました。コマンド ライン ターミナルからイメージの内容を表示するには、「ls -la /mnt/dd/」と入力し、 Enterを押します。
これで、イメージが dd ディレクトリに正常にマウントされました。コマンド ライン ターミナルからイメージの内容を表示するには、「ls -la /mnt/dd/」と入力し、 Enterを押します。
10,
これらのファイルをファイル マネージャーで表示するには、[ランチャー]パネルの[ファイル]アイコンをクリックしてファイル マネージャーを起動します。
11,
ファイルマネージャーウィンドウが表示され、ホームディレクトリが表示されます。左側のペインで「コンピュータ」をクリックします。
12,
次に、ディレクトリmnt --> ddに移動して、ファイルを表示します。
13,
次のタスクは、 Apple File Systemを含む dd イメージをマウントすることです。
タスクを開始するには、共有ディレクトリchfi-tools/Evidence Files/Forensic Imagesに移動し、MAC_Evidence_001.ddをコピーします。
14,
画像ファイルをホームフォルダーに貼り付けます。
15,
次に、ループデバイスにイメージをアタッチしてマウントします。接続する前に、空きループ デバイスを見つける必要があります。
clearコマンドを発行して端末画面をクリアし、次のステップに進みます。
16,
losetup -fコマンドは、最初の未使用のループ デバイスを特定するのに役立ちます。したがって、未使用のループ デバイスを表示するには、このコマンドを発行します。
出力で返される未使用のループ デバイスは、ラボ環境によって異なる場合があります。
17,
今回は、 loop1 を未使用のデバイスとして検討します。イメージをループデバイスに添付するには、コマンドラインターミナルに「losetup -r /dev/loop1 MAC_Evidence_001.dd」と入力し、 Enterを押します。
これにより、イメージ ファイル ( MAC_Evidence_001.dd ) がループ デバイスloop1にマウントされます。
28,
マウントされたイメージ ( 「証拠イメージ」という名前) は、ランチャー パネルに表示されます。
29、
次のスクリーンショットに示すように、マウント アイコンをクリックすると、イメージ ファイルの内容を含む証拠イメージフォルダーが表示されます。
30,
場合によっては、画像に隠しファイルやフォルダーが含まれる場合があります。それらを表示するには、キーボードのCtrl+Hを押します。
31,
このようにして、 mount コマンドとlosetupコマンドを使用してイメージ ファイルをマウントできます。これらの画像は調査の基礎を形成し、調査に関連する重要な洞察を得るのに役立ちます。
開いているウィンドウをすべて閉じます。