LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@sakuryu(saku)

デジタルフォレンジック入門

Posted at

基本の基本

デジタルフォレンジックって?

フォレンジックとは科学を応用して犯罪捜査を行い、事実を明らかにすること。
そのデジタル版がデジタルフォレンジック。つまり、コンピュータやスマホにあるデータなどを法的証拠として集めたり、証拠として利用すること。

DFIR

概要

Digital Forensics and Incident Response (DFIR)
デジタルフォレンジックとインシデントレスポンスのこと。
デジタルフォレンジックで収集したデジタルデータを使い、セキュリティインシデントの原因の特定や発生前の環境に復元すること。

インシデント対応

プロセス

インシデント対応の4段階
NIST (米国国立標準技術研究所) が提唱するインシデント対応の4段階を参考に、インシデント対応プロセスを標準化します

  1. 準備
    インシデント計画の策定、チーム編成、ツールやリソースの整備など
  2. 検出と分析
    インシデント検出と影響範囲の分析
  3. 封じ込め、根絶、回復
    インシデントの影響を封じ込め、マルウェアの駆除、システムの正常復旧
  4. 事後対応
    インシデントの評価、再発防止策の検討・実施
インシデント例
  • 企業内での営業秘密の持ち出し
  • ランサムウェア・マルウェア感染時の被害範囲の特定
  • 不正会計
  • ハラスメントや過労死などの労働事件

デジタルフォレンジックに関わる職種

フォレンジックエンジニア

主な仕事内容は以下の4つ

  • 証拠の確保(保全)
    • HDD・SSDを丸ごとコピー
    • スナップショットの取得
  • 解析・復元
    • 削除ファイルやレジストリ痕跡の復元
    • タイムライン作成・ログ突合
    • マルウェアの静的・動的解析
  • レポートの作成と証言
    • 証拠と解析より得られた調査結果を時系列で整理、再現性のある手順書の作成
  • インシデント対応支援
    • 再発防止の助言や対応検討

証拠の確保

解析復元

静的解析(Static Analysis)

ツールなどを用いて解析対象のプログラムコードを解析すること。
プログラムをホワイトボックスとたら得て、プログラム内部の潜在的は機能やプログラムないに含まれるバイト列などを解析する

アセンブラと逆アセンブラ

アセンブリ言語で書かれたソースファイルを木が機械語に変換(=アセンプリ)するツールをアセンブラ。逆に機械語で書かれたオブジェクトファイルをアセンブリ言語(ニーモニック)に変換(=逆アセンブル)するツールを逆アセンブラ。

ディスクフォレンジック

ハードディスクやSSDなどの記憶媒体を解析し、不正行為やインシデントの痕跡を調査する手法。
削除されたファイルの復元や、Webアクセス履歴の解析、レジストリ情報の分析など、多岐にわたる調査

メモリフォレンジック

揮発性情報であるメモリ上のデータを解析し、コンピュータ上でどのようなプログラムが動作し、どのような相手と通信していたかなどの情報を得ることで、不正行為やセキュリティインシデントの証拠を収集するための技術

コマンド
コマンド 機能
as, nasm アセンブラ
objdump, gdb 逆アセンブラ

動的解析(Dynamic Analysis)

安全な環境で解析対象のプログラムをとりあえず実行すること。
プログラムをブラックボックスと捉えて、画面に表示されるメッセージやアクセスするファイル、挙動を見て解析する。

コマンド
コマンド 機能
strace 実行するプルグラムや自己宇宙のプロセスをトレースして、システムコールの発行状況を表示
ltrace プロセスが呼び出すダイナミックリンクライブラリ関数を表示するコマンド(スタティックリンクは表示されない)

用語

用語 内容
デジタルアーティファクト デジタル処理によって生成されるデータの望ましくない結果の総称

セキュ塾

バイナリ基礎

CTF

実施理由

無料枠

1.ウォークスルー

  • Intro to Digital Forensics
  • Forensic Imaging
    • フォレンジックイメージングの基礎を学び、主要な概念を定義し、デバイスのイメージング、マウント、ハッシュアルゴリズムによる整合性のチェック
  • DFIR: An Introduction
  • Linux Fundamentals Part 1
  • Legal Considerations in DFIR
    • q
  • macOS Forensics: The Basics
  • Digital Forensics Case B4DM755

2.チャレンジ

書籍

バイナリ入門書

  • たのしいバイナリの歩き方
  • 0と1のコンピュータ世界バイナリで遊ぼう! : Binary|Assembly
  • はじめて学ぶバイナリ解析

その他

  • 情報セキュリティマネジメント
  • 情報処理安全確保支援士
  • ハッカーの画像

参考

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?