一方的に書き連ねるブログ

航海してすぐ後悔

マルウェア感染が疑わしい際の応急調査 レジストリ編

マルウェア感染が疑わしい際、調査すべき項目がいくつかあります。

今回はフォレンジックの観点から有効(と思われる)ポイントをいくつか紹介します。

 

今回はレジストリ編です。

 

 


レジストリとは

 

レジストリにはユーザやマシンの設定情報が格納されている、中央階層型のデータベースです。
システム起動時にメモリに組み込まれます。

格納されるデータにはコンピュータ全体の設定やユーザの行動履歴等があります。
例えばOSの設定、ソフトウェアは設定やファイルへのアクセス履歴やソフトウェアの実行履歴等です。

基本的にはレジストリはシャットダウン時に更新されます。


レジストリファイルの入手方法については下記記事をご参照ください。

 

lip-slips.hatenablog.com

 

 


レジストリ調査に有用なツール

 

レジストリ調査には有用なツールがいくつかあります。
参考までにURL等を共有しておきます。(全部フリーツールです)

 

- Regripper

github.com

有名なレジストリ解析ツールです。
使い方に関しては下記ブログが丁寧に紹介してくれているのでご参照ください。
(決して手抜きではないんだからねっ!)

 

kieft.hateblo.jp

 


- Windows Registry Recovery

http://www.mitec.cz/wrr.html

 

インストール不要ですぐ実行できるレジストリ解析ツールです。
インポート機能に対応しており、左側のメニューから直感的に操作できます。
パース時にCPUが高付加で張り付くのが難点。

 

 

- KaniReg

github.com

日本語マニュアルが付属している。
できるだけユーザの操作が必要なく使用できる。UIも日本語でわかりやすい。

 


- Registry Viewer

accessdata.com

以前このブログで紹介したFTK Imagerの開発元であるAccessData社製のレジストリ解析ツール。無料で使えるデモモードだと一部機能に制限がかかるが、簡単な調査であれば十分。
強力な検索機能や、16進数値の変換等、調査時における様々な便利機能が搭載されている。
おすすめ!

 

 


マルウェア感染時に調査すべきレジストリハイブ

 

マルウェア感染時にもレジストリ調査は有用です。
自動実行に登録されていないか、ユーザークリックにより実行されたのか、等を判別することができます。
レジストリ調査時に頻繁に見る箇所をいくつか挙げようと思います。

 


Windows起動時の自動実行の設定


PC起動時や、ユーザーログオン時等に自動で実行される設定が登録されているかどうかについては、下記ハイブを確認します。
マシン全体と、特定のユーザーログオン時で格納されているハイブが異なります。

 

マシン全体
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run or RunOnce or RunOnceEx or RunServices


特定ユーザーログオン時
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run or RunOnce or RunOnceEx or RunServices


このキーにフルパスで登録されています。

 

 

 

インストールされたソフトウェアの調査

HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\Uninstall

 

コントロールパネル > プログラムと機能 に表示されるプログラムの場合はこのキーに設定が登録されています。
しかし通常マルウェアはこのキーに登録されるような手法は用いません。
その場合はSOFTWAREレジストリの未使用領域を対象にデータ復元等を行い、過去にインストールされたソフトウェアの有無を調査します。

 

基本的には以上の項目をチェックします。


ユーザ自身がファイルクリックしたことによる感染の場合ですと、
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
等を確認したりします。
また
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
を確認することで、「ファイル名を指定して実行」によって実行されたソフトウェアの情報を確認できます。

 

 

 


終わりに

今日はレジストリ編ということで、マルウェア感染時に確認すべきキーや、調査に有用なツールを紹介しました。

私はコードが読めないし、書けないのでリバースエンジニアリングやら逆アセンブルやらデコンパイルやらはよくわかりません。
将来的にはIDAをブンブンのブンしてマルウェア本体の解析もできるようになっていきたいですね。

 

マルウェア感染が疑わしい際の応急調査 prefetch編

マルウェア感染が疑わしい際、調査すべき項目がいくつかあります。

今回はフォレンジックの観点から有効(と思われる)ポイントをいくつか紹介します。

 

 今回はプリフェッチ編です。

 

プリフェッチとは名前の通り

pre(事前に)fetch(持ってきた)情報が格納されているデータになります。

 

 

プリフェッチは以下の特徴を持っています。

・プログラムが起動された10秒後に、C:\Windows\Prefetch に [プログラム名-フルパスから算出されたハッシュ値.pf]のファイル形式で保存されます。
・フルパスから算出されたハッシュ値命名規則としているので、プログラム名が同じでもハッシュ値が異なれば、違うパスから実行されたということがわかります。
・プリフェッチには、プログラムのフルパス、実行日時、累計実行回数、プログラムがプロセス実行のために読み込んだモジュール(dll等)などの情報が記録されています。
コマンドラインや自動実行(autorun.inf等)によって実行されたプログラムもプリフェッチに記録されます。
SSD搭載PCではプリフェッチが無効化されている場合があります。(プリフェッチはプログラムを高速に実行するための機能であり、ロード時間が短いSSDにおいては必要とされない場合があるため。)

 

Prefetchについては下記参照

Misinformation and the The Prefetch Flag – Funny, It Worked Last Time

 

Prefetch - ForensicsWiki


(Forensicswiki見れば大体なんでも書いてある。すごい。)

 

 

プリフェッチはバイナリエディタ等で中を見て解析していくことができますが、慣れていない人だととっつきにくいです。(私もできません)

なのでツールを用いてパースした情報を見ていこうと思います。

 

WinPrefetchViewというツールを用います。

www.nirsoft.net

 

ダウンロード&解凍して任意のディレクトリに格納してください。

 

ツールを実行すると、実行している端末のプリフェッチを自動的にロードしてパースしてくれます。インポート機能はないので、解析したい端末の上で動作させることになります。

※プログラム実行によりデータ改変が起こるため、証拠保全で万全を期すためには実行しないでください。トリアージ程度であれば、書き込み防止措置を施して実行してください。

 

ツール実行するとプリフェッチを自動でパースしてくれます。

またプログラムがロードしたdll等も一覧で表示してくれます。

 

今回は検証用に立てたWindows10 ProのVM環境のprefetchを表示しています。

FTK Imager等が実行されたことが確認できます。

f:id:lip-slips:20180915215505p:plain

図1 WinPrefetchView

 

 

これにより、直近で作成された128件の.pfファイルを解析することができます。

マルウェア等が実行されていた場合の手がかりになります。

例えば、正規プログラムの名前を語っているマルウェアなどであれば.pfファイルの名前から解析したり、格納ディレクトリを特定できたりします。

またロードしたモジュールも表示されるため、どんな挙動を行ったのかを簡易的に調査できます。

過去に私が調査したものですと、firefox.exeに偽装したプログラムが動作しており、CCleaner.exeをロードしデータの削除を行っていたというものがありました。対象は確かWannaCryの亜種だったと思います。(うろ覚え)

 

 

 

このようにプリフェッチを解析することで、マルウェア感染の際の調査に応用できます。

闇雲に調査を行うよりも、こうしたツールを用いてトリアージを行うことで効率的に調査することができます。

 

 

気が向いたらレジストリ解析編も書こうと思います。

 

 

 

FTK Imagerでデータ保全 運用編

前回の記事でFTK Imagerは以上と言ったな?

あれは嘘だ。

 

というわけで

 

データ保全ツールである、FTK Imagerについて紹介します。

無料で使えるソフトウェアでありながら、実際の現場でも頻繁に使用されている高機能なイメージングソフトです。

 

今回は運用編として、実際の保全の現場におけるFTK Imagerの便利機能を紹介します。

※紹介されている手法で生じる不都合に対して、筆者は一切の責任を負いません。

※データ取得を試行する際は、自分の環境やインシデントレスポンスの現場等他人に迷惑がかからない環境で実行してください。

 

今回紹介するのは、FTK Imagerの便利機能です。

その便利機能とはUSBから起動できる、というアレです。

手順を紹介します。

 

 

まずFTK Imagerをダウンロード&解凍します。

手順はダウンロード編で紹介したとおりです。

lip-slips.hatenablog.com

 

 

その後、実行ファイルを叩きます。

 

 

FTK Imagerはローカル端末にインストールもできますが、USB等のリムーバブルメディアにもインストールして実行することができます。

これにより、持ち運び可能な保全ツールとして運用できます。

もちろんFTK Imagerの全機能を使用できます。

 

インストール手順を紹介します。

 

まずは解凍したFTK Imagerのインストーラを管理者権限で実行します。

 

f:id:lip-slips:20180911211125p:plain

図1 インストール先の変更

 

インストール先を指定する画面になったら、ウインドウ右側の[Change]をクリックします。

今回はJドライブとして割り当てられている、ELECOM製32GBのUSBメモリにインストールします。

※なんで32GBかというと、昨今のPCではメモリ8GBが以上ないと人権が無い以上であるというのが非常に多いからです。

容量に余裕のあるUSBメモリを用いることで、FTK Imagerのインストール並びにメモリダンプ、レジストリの保存先をUSBメモリに指定することができます。

 

リムーバブルメディアを保存先に指定することで、ローカルデバイス(OSがインストールされているデバイス)に加えられる変更を最小限に抑えることができます。

どういうことかというと、未使用領域やスラックスペースへの上書きを抑止することができます。(これにより削除データの復元の可能性が上がります。

※1

f:id:lip-slips:20180911213640p:plain

図2 JドライブにマッピングされているUSBメモリを指定

 

OKを押下してインストール先を指定します。

その後は画面に従ってインストールしていきます。

 

 

インストールが完了すると先程指定したインストールしたデバイスにインストールされていることが確認できます。

 

※ローカル端末にインストールした

"C:\Program Files\AccessData\FTK Imager

を直接リムーバブルメディアにコピーすることでも使用できます。

 

f:id:lip-slips:20180911222159p:plain

図3 J:\FTK Imager

 

インストールしたディレクトリを開き、FTK Imager.exeを実行するとFTK Imagerが実行されます。

その後は保全編、発展編で紹介した内容が使用できます。

lip-slips.hatenablog.com

lip-slips.hatenablog.com

 

 

この機能の良いところはFTK ImagerをインストールしたUSBメモリを作成しておけば、Windows 64bit機であれば対応できるところです。

例えばアンチウイルスが検知したタイミングあれば、USBメモリにインストールしたFTK Imagerを起動することでメモリダンプを取得してからLANの切断といった処置を行うことができます。

メモリダンプを取得していれば、その後の調査においてC2の通信先であったり、親プロセス、インジェクションされたプロセス等のみならず、タイムライン調査も可能になります。

 

Cドライブ等を保全していればディスクフォレンジックの際にも有意な情報になります。

またレジストリを取得していれば、userdiffの情報やsoftwareのレジストリも取得しているので、インストールされたソフトウェア、自動実行等の情報が判明する可能性もあります。

メモリの保全レジストリの取得については下記を参照してください。

lip-slips.hatenablog.com

 

例えばデータの保全だけは自社で行い、調査についてはベンダに投げる。といったような運用が可能になります。

ベンダには中間報告等をあげてもらえばHPに掲載する等の措置をとることができ、投資家や株主の対策にもなり得ます。

 

 

 

環境によってはFTK Imager.exe実行時にいくつかのDLL不足により実行できない場合があります。

その際はVisual C++再配布パッケージがインストールされているコンピュータの

C:\windows\System32 に格納されている、
・MSVCP140.dll
・VCRUNTIME140.dll
・mfc140u.dll
をUSBデバイス等のFTK Imagerフォルダ直下にコピーすることでFTK Imagerをリムーバブルメディアから実行することができます。

 

私が確認している限りでは、ナチュラルなWindows10 Enterprise環境ではVisual C++がインストールされていないので実行できないことを確認しています。

 

 

 

FTK imager.exe実行した後は、必要に応じてデータ保全を行ってください。

 

 

今日はFTK Imagerの便利機能について紹介しました。

これ以外にもフリーツールで便利なものがあったら紹介したいと思います。

 

 

 

※1 9/12追記

 

 

 

成し遂げました。

こんばんは。はしだいです。

 

 

このブログの月間PVが100超えました。

というかここ3日で超えました。

 

DWUお嬢様の記事

ディスク証拠保全の記事

FTK Imagerの記事

 

で超えました。

 

 

このブログを始めるに当たり、目標の一つが100PV超えることだったので達成感があります。

 

 

記事の伸びが良いのはVTuberの記事ですね。

 

 

DWUお嬢様と月ノ美兎委員長の対決見ました?

最高じゃないですか?(語彙力の消失)

 

ボーボボとエロゲの話してる委員長可愛くないです?

DWUお嬢様の顔が良すぎません?

 

 

まだ見てないオタクは見て。

www.youtube.com

 

3Dだから回れるDWUお嬢様と、腕が回らない委員長かわいくないです??

 

あと田中のおっさん、見てます?

www.youtube.com

 

 

待たせたな。

って言ってほしすぎません?

 

 

 

今週は怒涛です。

 

 

今週の楽しみは水曜に行われる催しですね。

なんだかんだぼきはセキュリティがすこなのかもしれません。

 

最近は社外活動に力を入れています。

というのも、私はベンダになるのですが致命的な問題が発生しています。

 

 

 

ユーザーの運用がわからない

 

これを解決するためにもWG等の活動にはできるだけ参加したいと思ってます。

勉強会だと個人の活動という感じがあって、それはそれで参加してみたいんですけどね。

 

 

 

 

 

 

 

先日氷結ストロング 500ml×24本を購入したんですが、

生活水準の下がる音が聞こえます。

年明けから休肝日を設けれていないのですが、流石に来週の健康診断の前日は控えめにしておきたいと思います。

 

 

健康診断まで猶予があるので、今日も酒を飲みます。

 

 

FTK Imagerでデータ保全 発展編

データ保全ツールである、FTK Imagerについて紹介します。

無料で使えるソフトウェアでありながら、実際の現場でも頻繁に使用されている高機能なイメージングソフトです。

 

今回は発展編として、メモリ保全レジストリの取得方法を紹介します。

 

 

メモリの保全が求められる場面としては、ウイルス感染時が考えられます。

親プロセス、子プロセスがわかれば相関関係も求められますし、プロセス実行でロードされているプログラムのパスが分かればその後の調査をスムーズに進められます。

しかしメモリ取得には考えなければいけない点があります。

 

Windows10にではメモリアクセスによるBSoDの発生率が高いです。(Windows7に比較して)

フリーでメモリ取得できるツールは多々ありますが、BSoDを発生させずにダンプできるツールはそこまで多くないようです。

企業等での使用や、自作erの方ですとWindows 10 Enterpriseを使用している方も少なからずいらっしゃると思います。

Windows10 Enterpriseに搭載されているセキュリティ機能である、Crendential Guardが有効になっていると大概のツールではメモリダンプ取得時にBSoDが発生します。

 

Credential Guardに関しては下記参照してください。

docs.microsoft.com

 

FTK Imager並びにFTK Imager Lite(32bit)もCredential Guard有効環境ではBSoDが発生します。

BSoD回避できるツールとしてはDumpItがあるようですが、検証していないので詳細は省きます。

 

ですので今回はCredential Guardが有効になっていない端末で、FTK Imagerを用いてメモリを取得する方法を紹介します。

 

 

FTK Imagerを起動し、ツールバーにあるRAMのマークをクリックします。

クリックすると保存先やファイル名の設定画面が表示されます。

 

必要事項を入力してCapture Memoryをクリックすると、メモリの取得が開始されます。

手順としては以上で、非常に手軽です。

 

f:id:lip-slips:20180909223033p:plain

 

図1 Memory Capture設定画面

 

 

メモリの取得方法としては非常に簡単ですが、あくまで「Capture Memory」実行時に実行されているプロセスのみが保存されるという点に関してはご留意ください。

確実に取得したいプロセスがあるときは、Process Explorer等を使用してターゲットプロセスをサスペンドするなどしてください。

 

Process ExplorerWindows Sysinternalからダウンロードできます。

docs.microsoft.com

 

 

メモリ取得は以上です。

 

 

続いてFTK Imagerの便利機能のObtain Protected Filesを紹介します。

Obtain Protected Filesとは名前の通り、通常では保護されていて取得することができないファイルを取得する 機能です。

C:\Users\USER\NTUSER.DAT

C:\Windows\system32 以下のSAM、SECURITY、software、system等を取得する機能です。

 

 

FTK Imagerを起動し、ツールバーのObtain Protected Filesをクリックします。

(メモリ取得の右隣です。)

f:id:lip-slips:20180909223802p:plain

図2 Obtain Protected Files

 

クリックすると下記画面が表示されます。

保存先やオプションの設定ができます。

設定できるオプションとしては

・ユーザーログオンPasswordの解析に必要な最小限のファイルのみ取得

・Password解析に必要なファイルとすべてのレジストリの取得

 

の2種類があります。

今回はPassword recovery and all registrty filesを選択します。

 

f:id:lip-slips:20180909223902p:plain

図3 保存先とオプションの設定

 

必要事項入力したら、OKを押下します。

取得の進捗はプログレスバーで表示されます。

完了したら、指定した保存先にレジストリファイルが保存されています。

 

f:id:lip-slips:20180909224210p:plain

図4 取得したレジストリファイル

 

 

フォレンジック調査においてはレジストリ解析は重要です。

softwareを解析するとインストールされているファイルの一覧や、自動実行のファイル等の情報が入手できます。

systemはタイムゾーンやマシンの設定に関する情報が入手できます。

その他の情報については各自必要に応じて調べてください。

 

これらのレジストリファイルを一括で取得できるのはFTK Imagerの強みです。

 

 

 

今回は発展編として、メモリ取得、レジストリ取得について紹介しました。

FTK Imagerに関してはこの記事を持って一旦終了とさせていただきます。

 

 

 

FTK Imagerでデータ保全 保全編

データ保全ツールである、FTK Imagerについて紹介します。

無料で使えるソフトウェアでありながら、実際の現場でも頻繁に使用されている高機能なイメージングソフトです。

 

今回は保全編です。

 

前回の記事ではダウンロードから解凍してインストールまでを紹介しました。

FTK Imagerでデータ保全 ダウンロード編 - 一方的に書き連ねるブログ

 

今回は実際の保全エビデンスのマウントとイメージファイルの作成)について紹介します。

 

 

FTK Imagerを起動したら、File > Add Evidence Item をクリックします。

 

f:id:lip-slips:20180909074851p:plain

図1 File > Add Evidence Itemをクリック

 

Add Evidence Itemをクリックすると、ロードするエビデンスの種類を選択する画面が表示されます。

f:id:lip-slips:20180909074951p:plain

図2 エビデンス種類の選択

 

Physical Driveは物理ディスクになります。FTK Imagerを起動しているホストマシン自体のディスクもマウントできます。このモードではディスクの全領域をマウントできます。

実際の使用想定では、ホストコンピュータに接続した外部デバイス保全する際に使用します。

 

Logical Driveは論理ディスク取得になります。

Physical Driveでマウントすると、パーティションレベルで表示されるのに対して、Logical DriveではCドライブ等のボリューム単位での取得が可能です。

 

今回はLogical Driveでマウントしてみます。

Logical Driveのラジオボタンを選択しNextをクリックすると、マウントする対象ボリュームの選択画面になります。

選択したら Finish をクリックします。

 

f:id:lip-slips:20180909075325p:plain

図3 対象ボリュームの選択

 

FinishをクリックするとMFT(Master File Table)がロードされ、選択したボリュームがマウントされます。

 

 

f:id:lip-slips:20180909075538p:plain

図4 MFTのパース

 

パースが完了するとマウントされたディスクの内容が、ツリー構造で表示されます。

 

f:id:lip-slips:20180909075653p:plain

図5 表示されたディレクトリ構造

 

Windowsの場合、[root]がCドライブに相当します。

 

ディスクの内容をトリアージする場合はこの機能が有効です。

 

 

ディスクをマウントした後はイメージファイルとしての出力が可能です。

イメージファイル出力に関しては物理ディスクの保全と合わせて紹介していきます。

今回はTailsがインストールされたUSBメモリを対象に紹介していきます。Tailsは匿名OSとして有名です。エドワード・スノーデンが使用していることでも有名になりました。

 

物理取得をする際は、File > Add Evidence Item > Physical Driveうを選択します。

するとデバイスを選択する画面が表示されます。

先程Logical Driveで取得したときは、ドライブレターの割当があるボリュームが表示されていたと思います。

Physical Driveで取得する際はデバイス名が表示されます。

 

今回のターゲットはHP製USBメモリです。

 

f:id:lip-slips:20180909103240p:plain

図6 取得するPhysical Driveを選択

 

Finishをクリックするとマウントされます。

対象デバイスがマウントされたら、右クリックしてExport Disk Imageを選択します。

f:id:lip-slips:20180909103422p:plain

 

図7 Export Disk Image

 

Export Disk Imageをクリックすると、イメージファイルの設定画面が表示されます。

 

f:id:lip-slips:20180909103544p:plain

図8 設定画面

 

Image Sourceが対象デバイスを指していることを確認したら、Addをクリックして保存先を指定してください。

下部のチェックボックスはお好みで設定してください。今回はイメージファイル取得後にハッシュ値の検証を行うため、Verify Image after they are createdにチェックを入れています。

 

Image DestinationのAddをクリックするとファイル形式選択画面が表示されます。

f:id:lip-slips:20180909103820p:plain

図9 ファイル形式選択

 

今回はE01形式で保存します。

E01形式についてはここを参照してください。

www.forensicsware.com

 

形式を選択したら次へをクリックします。

するとエビデンスの情報を記入する画面が表示されます。

必要に応じて入力してください。

f:id:lip-slips:20180909103952p:plain

図10 エビデンス情報入力画面

 

入力が完了したら次へをクリックしてください。

するとようやく保存先の指定、ファイル名の指定が可能になります。

今回はユーザーのデスクトップにTailsというフォルダを作成し、保存先に設定しました。イメージファイルの名前はTailsとしています。

 

f:id:lip-slips:20180909104058p:plain

図11 イメージファイルの保存先設定

 

Image Fragment Sizeはイメージファイルの分割を行う際に設定してください。

圧縮可能な形式で保全する場合は圧縮率の設定ができます。

 

 

必要事項を設定したらFinishをクリックします。

その後の画面でStartを押下することで取得が開始されます。

 

進捗状況はプログレスバーで確認することができます。

f:id:lip-slips:20180909104418p:plain

図12 イメージファイル取得の状況

 

また今回はイメージファイル取得完了後にハッシュ値の計算を行う設定にしてあります。

ハッシュ値計算も進捗状況をプログレスバーで確認できます。

 

f:id:lip-slips:20180909104509p:plain

図13 ハッシュ計算の進捗

 

ハッシュ値の算出が完了すると結果が表示されます。

f:id:lip-slips:20180909104606p:plain

図14 ハッシュ計算の結果

 

 

この結果はイメージファイルが保存されているディレクトリにもtxt形式で保存されます。

その際の命名規則は ファイル名.E01.txtになります。

 

指定したディレクトリに保存されていればイメージファイルの取得が完了です。

 

f:id:lip-slips:20180909104719p:plain

図15 イメージファイルの保存

 

 

 

保全編は以上です。

次回はメモリやレジストリ保全について紹介します。

 

 

FTK Imagerでデータ保全 ダウンロード編

データ保全ツールである、FTK Imagerについて紹介します。

無料で使えるソフトウェアでありながら、実際の現場でも頻繁に使用されている高機能なイメージングソフトです。

 

今回はダウンロード編です。

 

FTK ImagerはAccessDataという会社が提供しています。

AccessData社HPへアクセスします。

https://www.accessdata.com/

 

ページ上部の Product & Servicesへマウスオーバーします。

Products Downloadsをクリックします。

 

f:id:lip-slips:20180909073049p:plain

図1 AccessData社トップページ

 

f:id:lip-slips:20180909073328p:plain

 

図2 Product Downloads

 

 

遷移したページの中部にある FTK Imager をクリックします。

 

f:id:lip-slips:20180909073456p:plain

図3 FTK Imagerをクリック

 

好みのバージョンを選択してください。

2018/9/9時点での最新バージョンは4.2.0です。

 

f:id:lip-slips:20180909073614p:plain

図4 好みのバージョンを選択

 

 

 

名前やメールアドレス、所属等を入力します。

この際入力するメールアドレスはフリーメールアドレスだと弾かれてしまうようです。

一応セキュリティツールなので、悪意を持って使用されないようにするための措置だと思います。

 

f:id:lip-slips:20180909073651p:plain

 

図5 必要事項を入力

 

 

しばらくして入力したメールアドレスにダウンロードリンクが届くので、そのリンクからFTK Imagerをダウンロードします。

形式はzipですので、お好きなディレクトリに格納した後、解答してインストールしてください。

 

次回はデータ保全の方法を紹介します。