デジタルフォレンジック

旧WEBサイトから移植

デジタルフォレンジックとは、簡単に言うとハードディスクなどに入っている、電子データを解析すること。

裁判などで、押収したPCのメールや画像などの電子データを解析し、証拠として提出するときなどに使用するらしい。

正直一般のひとには全く関係のないことだけど、HDDやUSBのデータを解析できるというのはちょっとおもしろい。

まぁ、これはツールでよくあるものだけど、消えてしまったデータを復元したい時などにデジタルフォレンジックを使えば、上書きされていなければ復元できる。

ものはためしに、自分のUSBメモリー4GBを使って挑戦します。

今回はDEFT-Linuxという、

デジタルフォレンジックを行うためのツールが一式入っているLinuxを使って行います。

 

ではさっそく。

http://www.deftlinux.net/

からDEFT-LinuxのLive-CDのisoをダウンロードしてくる

 

CDブートで起動し(自分は仮想マシンでisoファイルを読み込ませた)、一番上のStart DEFT Linuxを選択。

 

 

このままだとCUIでの操作になってしまうので、startxでグラフィックモードに移行

 

 

少し待つとグラフィカルな画面に代わる。

 

 

まずは、イメージファイルの保存場所をマウントさせる

外付けのUSB(大容量)を接続し、mount pointを指定し、マウントさせたいドライブの上で右クリック → mountを押す。

すると写真右のほうにマウントのアイコンが出るので、クリックする。

これでイメージファイルを保存する場所を確保できる。

 

 

イメージファイル(今回はUSB4GB)を作成するため、左下のボタンをクリックし、computer Forensic → Guymagerを選択する

 

 

GUYMAGERで開いた画面には、今接続されているストレージが表示されるので解析したいストレージを選択し、

右クリック → Acquireを選択する

今回はUSBメモリ(4GB)を使用するため、一番上のSKYMEDI_USB_DEVICEを選択した。

 

 

Acquireを実行するとFile formatや保存時の名前、保存場所などをきいてくるので入力し、OKを押す

今回の例では、

保存場所:/mnt/deft-linux

(写真では、/root/Desktop/になっているが、間違え!)

ファイル名:  usb-device(4GB)

 

OKで実行し、しばらくまつとStateの部分が緑色の丸に、Finishedに変わる。

指定した保存先にさきほどの名前(usbdevice4gb)の.ddファイルと.infファイルが作成される。

 

 

イメージファイルの作成ができたので、さっそく解析に入る。

左下のボタンを押し、computer forensic → Autopsy forensic browserを選択する。

 

 

次の画面が開かれるので、NEW CASEを選択する。

 

 

Case Name    : teset-case

Description    : comment

investigator names: test-user

適当でもOK。

 

NEWCASEを選択する。

 

次に進み、デフォルトの設定のままで下のADD HOSTを選択し、image選択に進む。

ADD IMAGEで先ほど作成したイメージファイルを指定する。

自分の場合は、mnt/deft-linux/usbdevice4GB.dd

 

NEXTを選択する、

・data ignoreはHASHを 取っていなければigonoreのままでOK.

・file system detailsはファイルシステムを選択するのだが、デフォルトのままでそのファイルシステムを指定してくれているはず。

違う場合は自分で変える。

 

ADD→OKを選択で、ついに解析の準備が整った!

C:/を選択し、ANALYZEで実行。

 

 

あとは、自分の好きなモードでいろいろいじくってみる。

終了。

 

 

FILE ANALYSISでデータをダウンロードしたり、いろいろなこと見たりできるけど、細かすぎてわからないのも結構あった。

とりあえずは使ってみて慣れるしかない。