一方的に書き連ねるブログ

航海してすぐ後悔

FTK Imagerでデータ保全 保全編

データ保全ツールである、FTK Imagerについて紹介します。

無料で使えるソフトウェアでありながら、実際の現場でも頻繁に使用されている高機能なイメージングソフトです。

 

今回は保全編です。

 

前回の記事ではダウンロードから解凍してインストールまでを紹介しました。

FTK Imagerでデータ保全 ダウンロード編 - 一方的に書き連ねるブログ

 

今回は実際の保全エビデンスのマウントとイメージファイルの作成)について紹介します。

 

 

FTK Imagerを起動したら、File > Add Evidence Item をクリックします。

 

f:id:lip-slips:20180909074851p:plain

図1 File > Add Evidence Itemをクリック

 

Add Evidence Itemをクリックすると、ロードするエビデンスの種類を選択する画面が表示されます。

f:id:lip-slips:20180909074951p:plain

図2 エビデンス種類の選択

 

Physical Driveは物理ディスクになります。FTK Imagerを起動しているホストマシン自体のディスクもマウントできます。このモードではディスクの全領域をマウントできます。

実際の使用想定では、ホストコンピュータに接続した外部デバイス保全する際に使用します。

 

Logical Driveは論理ディスク取得になります。

Physical Driveでマウントすると、パーティションレベルで表示されるのに対して、Logical DriveではCドライブ等のボリューム単位での取得が可能です。

 

今回はLogical Driveでマウントしてみます。

Logical Driveのラジオボタンを選択しNextをクリックすると、マウントする対象ボリュームの選択画面になります。

選択したら Finish をクリックします。

 

f:id:lip-slips:20180909075325p:plain

図3 対象ボリュームの選択

 

FinishをクリックするとMFT(Master File Table)がロードされ、選択したボリュームがマウントされます。

 

 

f:id:lip-slips:20180909075538p:plain

図4 MFTのパース

 

パースが完了するとマウントされたディスクの内容が、ツリー構造で表示されます。

 

f:id:lip-slips:20180909075653p:plain

図5 表示されたディレクトリ構造

 

Windowsの場合、[root]がCドライブに相当します。

 

ディスクの内容をトリアージする場合はこの機能が有効です。

 

 

ディスクをマウントした後はイメージファイルとしての出力が可能です。

イメージファイル出力に関しては物理ディスクの保全と合わせて紹介していきます。

今回はTailsがインストールされたUSBメモリを対象に紹介していきます。Tailsは匿名OSとして有名です。エドワード・スノーデンが使用していることでも有名になりました。

 

物理取得をする際は、File > Add Evidence Item > Physical Driveうを選択します。

するとデバイスを選択する画面が表示されます。

先程Logical Driveで取得したときは、ドライブレターの割当があるボリュームが表示されていたと思います。

Physical Driveで取得する際はデバイス名が表示されます。

 

今回のターゲットはHP製USBメモリです。

 

f:id:lip-slips:20180909103240p:plain

図6 取得するPhysical Driveを選択

 

Finishをクリックするとマウントされます。

対象デバイスがマウントされたら、右クリックしてExport Disk Imageを選択します。

f:id:lip-slips:20180909103422p:plain

 

図7 Export Disk Image

 

Export Disk Imageをクリックすると、イメージファイルの設定画面が表示されます。

 

f:id:lip-slips:20180909103544p:plain

図8 設定画面

 

Image Sourceが対象デバイスを指していることを確認したら、Addをクリックして保存先を指定してください。

下部のチェックボックスはお好みで設定してください。今回はイメージファイル取得後にハッシュ値の検証を行うため、Verify Image after they are createdにチェックを入れています。

 

Image DestinationのAddをクリックするとファイル形式選択画面が表示されます。

f:id:lip-slips:20180909103820p:plain

図9 ファイル形式選択

 

今回はE01形式で保存します。

E01形式についてはここを参照してください。

www.forensicsware.com

 

形式を選択したら次へをクリックします。

するとエビデンスの情報を記入する画面が表示されます。

必要に応じて入力してください。

f:id:lip-slips:20180909103952p:plain

図10 エビデンス情報入力画面

 

入力が完了したら次へをクリックしてください。

するとようやく保存先の指定、ファイル名の指定が可能になります。

今回はユーザーのデスクトップにTailsというフォルダを作成し、保存先に設定しました。イメージファイルの名前はTailsとしています。

 

f:id:lip-slips:20180909104058p:plain

図11 イメージファイルの保存先設定

 

Image Fragment Sizeはイメージファイルの分割を行う際に設定してください。

圧縮可能な形式で保全する場合は圧縮率の設定ができます。

 

 

必要事項を設定したらFinishをクリックします。

その後の画面でStartを押下することで取得が開始されます。

 

進捗状況はプログレスバーで確認することができます。

f:id:lip-slips:20180909104418p:plain

図12 イメージファイル取得の状況

 

また今回はイメージファイル取得完了後にハッシュ値の計算を行う設定にしてあります。

ハッシュ値計算も進捗状況をプログレスバーで確認できます。

 

f:id:lip-slips:20180909104509p:plain

図13 ハッシュ計算の進捗

 

ハッシュ値の算出が完了すると結果が表示されます。

f:id:lip-slips:20180909104606p:plain

図14 ハッシュ計算の結果

 

 

この結果はイメージファイルが保存されているディレクトリにもtxt形式で保存されます。

その際の命名規則は ファイル名.E01.txtになります。

 

指定したディレクトリに保存されていればイメージファイルの取得が完了です。

 

f:id:lip-slips:20180909104719p:plain

図15 イメージファイルの保存

 

 

 

保全編は以上です。

次回はメモリやレジストリ保全について紹介します。