はじめに
分析準備として、ファイルシステムを手動で判断して、LVM内部のEXT4なFSのイメージを抜き出せたので、続きはAutopsyに食わせていろいろ画像とか取り出してみる。
ツールで分析された結果だけを取り出すだけなので技術的な要素はないけど、
とりあえずフォレンジックにはこの工程があるということで最後の工程をQiitaにアップしとく。
書きぶりと内容なだけに、重要さがそれほど伝わりそうにないのは承知の上ですが
本来はこの作業が保全の次に最も大事。
ディスクフォレンジックの工程をざっくりと分けると、たぶんこんな感じかなと思う。
- 証拠保全(容量によりけり、160GBのディスクだと2時間程度)←初回
- 準備(技量による、慣れれば数分で終わる)←前回
- ディスクイメージの自動分析(容量やファイル数による、Autopsyを回し続けて2日かかった)←前回
- 手動分析 ← 今回はここ
例えばサイバー犯罪にかかわったかもしれない!という場合には
本来4番で、この人はどういうサイトを見た(どういう情報をどこで得たのか)とか
使用されたマルウェアを開発した痕跡はあるか、とか
いつどのタイミングでどのサイトにアクセスしていたかとか
そういうのをいろいろ見て回ると思う。
が、趣味のフォレンジックなので色々なくしたデータを拾っていきたいと思う。
某ベガス旅行に行った時の写真が出てきた。
細かい詳細は伏せるけど、学生時代にとあるきっかけをいただいて
ラスベガスに行った時の画像がいろいろ出てきた。
保管してた大本のHDDのデータが消えてしまって、さようならしたとばっかりに思ってたけど
当時持って行ったマシンがこれで、帰りの飛行機の中で保存してたから残ってたのかな?
とはいえ結構OSの再インストールとかアップグレードとかしてたはずなのによく残ってたな。
大体2013年のころの写真(管理してた大本のHDDが壊れてさようならした写真だったけど、残ってた)
「Carved Files」だからたぶん、ファイルシステム上ではすでに管理されてなくて、自動的にファイルヘッダとか見て収集されてきた画像だろうね。
運がよかった。復元しといた。
青くハイライトしてるやつは500gくらいの肉。でかくてうまかった。
暗号化されたホームディレクトリ
このあたりを見つつ復号してみる予定(パスワードを覚えてれば、ていうか当たれば)
https://askubuntu.com/questions/71708/how-do-i-open-access-your-private-data-desktop
もうちょっと深堀りたかったけど、時間も時間なので今日はここまで!