一方的に書き連ねるブログ

航海してすぐ後悔

FTK Imagerでデータ保全 運用編

前回の記事でFTK Imagerは以上と言ったな?

あれは嘘だ。

 

というわけで

 

データ保全ツールである、FTK Imagerについて紹介します。

無料で使えるソフトウェアでありながら、実際の現場でも頻繁に使用されている高機能なイメージングソフトです。

 

今回は運用編として、実際の保全の現場におけるFTK Imagerの便利機能を紹介します。

※紹介されている手法で生じる不都合に対して、筆者は一切の責任を負いません。

※データ取得を試行する際は、自分の環境やインシデントレスポンスの現場等他人に迷惑がかからない環境で実行してください。

 

今回紹介するのは、FTK Imagerの便利機能です。

その便利機能とはUSBから起動できる、というアレです。

手順を紹介します。

 

 

まずFTK Imagerをダウンロード&解凍します。

手順はダウンロード編で紹介したとおりです。

lip-slips.hatenablog.com

 

 

その後、実行ファイルを叩きます。

 

 

FTK Imagerはローカル端末にインストールもできますが、USB等のリムーバブルメディアにもインストールして実行することができます。

これにより、持ち運び可能な保全ツールとして運用できます。

もちろんFTK Imagerの全機能を使用できます。

 

インストール手順を紹介します。

 

まずは解凍したFTK Imagerのインストーラを管理者権限で実行します。

 

f:id:lip-slips:20180911211125p:plain

図1 インストール先の変更

 

インストール先を指定する画面になったら、ウインドウ右側の[Change]をクリックします。

今回はJドライブとして割り当てられている、ELECOM製32GBのUSBメモリにインストールします。

※なんで32GBかというと、昨今のPCではメモリ8GBが以上ないと人権が無い以上であるというのが非常に多いからです。

容量に余裕のあるUSBメモリを用いることで、FTK Imagerのインストール並びにメモリダンプ、レジストリの保存先をUSBメモリに指定することができます。

 

リムーバブルメディアを保存先に指定することで、ローカルデバイス(OSがインストールされているデバイス)に加えられる変更を最小限に抑えることができます。

どういうことかというと、未使用領域やスラックスペースへの上書きを抑止することができます。(これにより削除データの復元の可能性が上がります。

※1

f:id:lip-slips:20180911213640p:plain

図2 JドライブにマッピングされているUSBメモリを指定

 

OKを押下してインストール先を指定します。

その後は画面に従ってインストールしていきます。

 

 

インストールが完了すると先程指定したインストールしたデバイスにインストールされていることが確認できます。

 

※ローカル端末にインストールした

"C:\Program Files\AccessData\FTK Imager

を直接リムーバブルメディアにコピーすることでも使用できます。

 

f:id:lip-slips:20180911222159p:plain

図3 J:\FTK Imager

 

インストールしたディレクトリを開き、FTK Imager.exeを実行するとFTK Imagerが実行されます。

その後は保全編、発展編で紹介した内容が使用できます。

lip-slips.hatenablog.com

lip-slips.hatenablog.com

 

 

この機能の良いところはFTK ImagerをインストールしたUSBメモリを作成しておけば、Windows 64bit機であれば対応できるところです。

例えばアンチウイルスが検知したタイミングあれば、USBメモリにインストールしたFTK Imagerを起動することでメモリダンプを取得してからLANの切断といった処置を行うことができます。

メモリダンプを取得していれば、その後の調査においてC2の通信先であったり、親プロセス、インジェクションされたプロセス等のみならず、タイムライン調査も可能になります。

 

Cドライブ等を保全していればディスクフォレンジックの際にも有意な情報になります。

またレジストリを取得していれば、userdiffの情報やsoftwareのレジストリも取得しているので、インストールされたソフトウェア、自動実行等の情報が判明する可能性もあります。

メモリの保全レジストリの取得については下記を参照してください。

lip-slips.hatenablog.com

 

例えばデータの保全だけは自社で行い、調査についてはベンダに投げる。といったような運用が可能になります。

ベンダには中間報告等をあげてもらえばHPに掲載する等の措置をとることができ、投資家や株主の対策にもなり得ます。

 

 

 

環境によってはFTK Imager.exe実行時にいくつかのDLL不足により実行できない場合があります。

その際はVisual C++再配布パッケージがインストールされているコンピュータの

C:\windows\System32 に格納されている、
・MSVCP140.dll
・VCRUNTIME140.dll
・mfc140u.dll
をUSBデバイス等のFTK Imagerフォルダ直下にコピーすることでFTK Imagerをリムーバブルメディアから実行することができます。

 

私が確認している限りでは、ナチュラルなWindows10 Enterprise環境ではVisual C++がインストールされていないので実行できないことを確認しています。

 

 

 

FTK imager.exe実行した後は、必要に応じてデータ保全を行ってください。

 

 

今日はFTK Imagerの便利機能について紹介しました。

これ以外にもフリーツールで便利なものがあったら紹介したいと思います。

 

 

 

※1 9/12追記