一方的に書き連ねるブログ

航海してすぐ後悔

FTK Imagerでデータ保全 発展編

データ保全ツールである、FTK Imagerについて紹介します。

無料で使えるソフトウェアでありながら、実際の現場でも頻繁に使用されている高機能なイメージングソフトです。

 

今回は発展編として、メモリ保全レジストリの取得方法を紹介します。

 

 

メモリの保全が求められる場面としては、ウイルス感染時が考えられます。

親プロセス、子プロセスがわかれば相関関係も求められますし、プロセス実行でロードされているプログラムのパスが分かればその後の調査をスムーズに進められます。

しかしメモリ取得には考えなければいけない点があります。

 

Windows10にではメモリアクセスによるBSoDの発生率が高いです。(Windows7に比較して)

フリーでメモリ取得できるツールは多々ありますが、BSoDを発生させずにダンプできるツールはそこまで多くないようです。

企業等での使用や、自作erの方ですとWindows 10 Enterpriseを使用している方も少なからずいらっしゃると思います。

Windows10 Enterpriseに搭載されているセキュリティ機能である、Crendential Guardが有効になっていると大概のツールではメモリダンプ取得時にBSoDが発生します。

 

Credential Guardに関しては下記参照してください。

docs.microsoft.com

 

FTK Imager並びにFTK Imager Lite(32bit)もCredential Guard有効環境ではBSoDが発生します。

BSoD回避できるツールとしてはDumpItがあるようですが、検証していないので詳細は省きます。

 

ですので今回はCredential Guardが有効になっていない端末で、FTK Imagerを用いてメモリを取得する方法を紹介します。

 

 

FTK Imagerを起動し、ツールバーにあるRAMのマークをクリックします。

クリックすると保存先やファイル名の設定画面が表示されます。

 

必要事項を入力してCapture Memoryをクリックすると、メモリの取得が開始されます。

手順としては以上で、非常に手軽です。

 

f:id:lip-slips:20180909223033p:plain

 

図1 Memory Capture設定画面

 

 

メモリの取得方法としては非常に簡単ですが、あくまで「Capture Memory」実行時に実行されているプロセスのみが保存されるという点に関してはご留意ください。

確実に取得したいプロセスがあるときは、Process Explorer等を使用してターゲットプロセスをサスペンドするなどしてください。

 

Process ExplorerWindows Sysinternalからダウンロードできます。

docs.microsoft.com

 

 

メモリ取得は以上です。

 

 

続いてFTK Imagerの便利機能のObtain Protected Filesを紹介します。

Obtain Protected Filesとは名前の通り、通常では保護されていて取得することができないファイルを取得する 機能です。

C:\Users\USER\NTUSER.DAT

C:\Windows\system32 以下のSAM、SECURITY、software、system等を取得する機能です。

 

 

FTK Imagerを起動し、ツールバーのObtain Protected Filesをクリックします。

(メモリ取得の右隣です。)

f:id:lip-slips:20180909223802p:plain

図2 Obtain Protected Files

 

クリックすると下記画面が表示されます。

保存先やオプションの設定ができます。

設定できるオプションとしては

・ユーザーログオンPasswordの解析に必要な最小限のファイルのみ取得

・Password解析に必要なファイルとすべてのレジストリの取得

 

の2種類があります。

今回はPassword recovery and all registrty filesを選択します。

 

f:id:lip-slips:20180909223902p:plain

図3 保存先とオプションの設定

 

必要事項入力したら、OKを押下します。

取得の進捗はプログレスバーで表示されます。

完了したら、指定した保存先にレジストリファイルが保存されています。

 

f:id:lip-slips:20180909224210p:plain

図4 取得したレジストリファイル

 

 

フォレンジック調査においてはレジストリ解析は重要です。

softwareを解析するとインストールされているファイルの一覧や、自動実行のファイル等の情報が入手できます。

systemはタイムゾーンやマシンの設定に関する情報が入手できます。

その他の情報については各自必要に応じて調べてください。

 

これらのレジストリファイルを一括で取得できるのはFTK Imagerの強みです。

 

 

 

今回は発展編として、メモリ取得、レジストリ取得について紹介しました。

FTK Imagerに関してはこの記事を持って一旦終了とさせていただきます。