LoginSignup
5
5

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

@beardog

フォレンジック調査における保全手順(起動中のWindowsマシン編)

Last updated at Posted at 2020-06-18

#はじめに
前回の記事の続きです。今回は起動中のWindowsマシンに対する保全を行います。
主にWindowsを起動せざるを得ないケース、ディスク全体やパーティションが暗号化されている場合に採用する方法です。フォレンジックツールによっては暗号化された状態で保全しても、後から復号することもできるそうですが、本記事の手順が最も簡単でしょう。OSが起動した状態での保全になるため、Chain of Custodyを厳密に要求される調査では使用できないかもしれませんが、一般的なインシデントレスポンスではほとんど問題にならないと思います。

#FTK Imager Liteの準備
起動中のWindowsマシンに対して保全を行う場合、事前に保全用のツールをUSBメモリやHDDに用意しておく必要があります。このツールは保全先となるHDDに入れておくのが良いと思います。
保全にはFTK Imager Liteを使用します。Lite版を使用する理由は、インストール不要で、USBメモリから直接起動できるためです。
FTK Imager Liteは以下からダウンロードできます。必要事項を入力すると、メールでダウンロードするためにリンクが送られてきます。ダウンロードし、Zipを解凍したものをUSBメモリや外付けHDDに保存してください。
https://accessdata.com/product-download/ftk-imager-lite-version-3-1-1

FTK Imager Liteを起動する際にエラーが出て起動できない場合は、こちらを参照してください。

#保全の操作
ここからはFTK Imagerを操作していきます。

  1. 左上にある緑色アイコンの左側の方をクリックします。
    (マウスカーソルを合わせると「Add Evidence Item」と出る方です。似たようなアイコンが右側にもありますが、左側のアイコンです。)
    image.png

  2. 次の画面では、一旦Physical Driveを選択して次へを押します。

  3. image.png

  4. 保全対象のディスクを選択します。保全先のディスクとは通常サイズが違うのですぐにわかると思います。Finishを押します。

  5. image.png

  6. Evidence Treeに保全対象のディスクが追加されています。この状態で必ずCドライブが見えるかどうかを確認してください。
    以下のようにWindowsのフォルダが見えていれば問題ありません。

image.png

もし、Cドライブが見えないのであれば、Cドライブは暗号化されています。この場合は「Cドライブが暗号化されていた場合」の項に記載している手順を実施します。
以下はBitlockerで暗号化したCドライブの状態です。パーティションは見えますが、その中のファイル、フォルダは一切見えません。この状態で保全をしても調査不可能になる場合があります。
image.png

  1. 「\PHYSICALDRIVE0」を選択し、右クリック、Export Disk Imageを選択します。または、上部にあるフロッピーディスクのアンコンをクリックしてください。
    image.png

  2. Addを押します

  3. image.png

  4. 保存形式を選択する画面です。特に理由がなければE01が良いと思います。E01はデータを圧縮するため、サイズが小さくなります。
    image.png

  5. Case Numberなどを入力します。不要であれば何も入力せずに次へを押します。(調査会社によってはここに入力を求められるかもしれません。一般的なインシデント対応においては、特に必要ないと考えます)
    image.png

  6. 保存先のフォルダと保存する際のファイル名を入力します。ファイル名には拡張子は不要です。また、ファイルを分割するかどうかを選択できます。私は通常4GBで分割しています。E01形式の場合、圧縮が効きます。Compressionに1を入力します。(数字を大きくすると圧縮率が上がりますが、それほど恩恵はないようです)

image.png

  1. Finishを押し、「Verify images after they are created」のチェックを外してからStartを押します。これはイメージ作成後にベリファイするというものですが、通常のインシデント対応ではそこまでする必要はないと考えます。
    あとは待つだけです。
    image.png

##Cドライブが暗号化されていた場合
Cドライブが暗号化されていた場合は、上記の2. で、Logical Driveを選択します。
image.png

その後、保全するパーティションを選択します。DドライブやEドライブが場合は、それらも同様の手順で追加します。
image.png

保全を開始する前(上記手順の5.)に、必ずCドライブの内容が見えることを確認してください。以下はBitlockerで暗号化したCドライブの中身です。このようにファイルやフォルダが見えている状態であれば問題ありません。
image.png

保全する際は、「C:\」を選択した状態で右クリックし、「Export Disk Image」を選択します。以降は上記手順の6と同じです。DドライブやEドライブがある場合は、同様の手順を繰り返します。
image.png

#まとめ
2回にわたって保全手順について記載してきました。参考になれば幸いです。
また、こんな方法もありますよというご提案、誤りのご指摘をお待ちしています。

5
5
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
5
5

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?