はじめに

前回の記事の続きです。今回は起動中のWindowsマシンに対する保全を行います。
主にWindowsを起動せざるを得ないケース、ディスク全体やパーティションが暗号化されている場合に採用する方法です。フォレンジックツールによっては暗号化された状態で保全しても、後から復号することもできるそうですが、本記事の手順が最も簡単でしょう。OSが起動した状態での保全になるため、Chain of Custodyを厳密に要求される調査では使用できないかもしれませんが、一般的なインシデントレスポンスではほとんど問題にならないと思います。

FTK Imager Liteの準備

起動中のWindowsマシンに対して保全を行う場合、事前に保全用のツールをUSBメモリやHDDに用意しておく必要があります。このツールは保全先となるHDDに入れておくのが良いと思います。
保全にはFTK Imager Liteを使用します。Lite版を使用する理由は、インストール不要で、USBメモリから直接起動できるためです。
FTK Imager Liteは以下からダウンロードできます。必要事項を入力すると、メールでダウンロードするためにリンクが送られてきます。ダウンロードし、Zipを解凍したものをUSBメモリや外付けHDDに保存してください。
https://accessdata.com/product-download/ftk-imager-lite-version-3-1-1

FTK Imager Liteを起動する際にエラーが出て起動できない場合は、こちらを参照してください。

保全の操作

ここからはFTK Imagerを操作していきます。

左上にある緑色アイコンの左側の方をクリックします。
(マウスカーソルを合わせると「Add Evidence Item」と出る方です。似たようなアイコンが右側にもありますが、左側のアイコンです。)
次の画面では、一旦Physical Driveを選択して次へを押します。
保全対象のディスクを選択します。保全先のディスクとは通常サイズが違うのですぐにわかると思います。Finishを押します。
Evidence Treeに保全対象のディスクが追加されています。この状態で必ずCドライブが見えるかどうかを確認してください。
以下のようにWindowsのフォルダが見えていれば問題ありません。

もし、Cドライブが見えないのであれば、Cドライブは暗号化されています。この場合は「Cドライブが暗号化されていた場合」の項に記載している手順を実施します。
以下はBitlockerで暗号化したCドライブの状態です。パーティションは見えますが、その中のファイル、フォルダは一切見えません。この状態で保全をしても調査不可能になる場合があります。

「\PHYSICALDRIVE0」を選択し、右クリック、Export Disk Imageを選択します。または、上部にあるフロッピーディスクのアンコンをクリックしてください。
Addを押します
保存形式を選択する画面です。特に理由がなければE01が良いと思います。E01はデータを圧縮するため、サイズが小さくなります。
Case Numberなどを入力します。不要であれば何も入力せずに次へを押します。（調査会社によってはここに入力を求められるかもしれません。一般的なインシデント対応においては、特に必要ないと考えます）
保存先のフォルダと保存する際のファイル名を入力します。ファイル名には拡張子は不要です。また、ファイルを分割するかどうかを選択できます。私は通常4GBで分割しています。E01形式の場合、圧縮が効きます。Compressionに1を入力します。（数字を大きくすると圧縮率が上がりますが、それほど恩恵はないようです）