FTK Imager は AccessData によるオープンソース ソフトウェアであり、オリジナルの証拠に実際に変更を加えずに正確なコピーを作成するために使用されます。 オリジナルの証拠品の画像はそのままで、より速い速度でデータをコピーすることができ、すぐに保存され、さらに分析することができます。
FTK イメージャはまた、オリジナルの証拠品の画像を作成する前と後の証拠品のハッシュを照合するのに役立つハッシュ レポートを作成する内蔵完全性チェック関数が用意されています。
目次
- フォレンジック イメージの作成
- メモリのキャプチャ
- イメージ ダンプの解析
- ドライブへのイメージ マウント
- ADを使ったカスタム コンテンツ イメージ
- フォレンジック イメージの作成
- Decrypt AD Encryption
- Obtain Protected Files
- Detect EFS Encryption
- Export Files
まずはオリジナルの証拠のイメージ コピーから作成しましょう。
フォレンジック イメージの作成
フォレンジック イメージングは、デジタル フォレンジック調査における最も重要なステップの 1 つです。 これは、ハード ドライブ全体のアーカイブまたはバックアップ コピーを作成するプロセスです。 これは、オペレーティング システムにブートするために必要なすべての情報を含むストレージ ファイルです。 ただし、このイメージ化されたディスクは、ハードディスクに適用しないと機能しません。 イメージ化プログラムを使用してドライブに開いてインストールする必要があるため、ディスクイメージファイルをハードドライブに配置しても、ハードドライブを復元することはできません。 1台のハードディスクに多くのディスクイメージを保存することができます。
FTK Imager by AccessData をインストール後に開くと、このツールが開く最初のページであるウィンドウがポップアップ表示されます。
さて、ディスクイメージを作成する。 ファイル > ディスク イメージの作成.
ここで、あなたが持っているドライブに基づいてソースを選択することができます。 物理ドライブは、データを保存、検索、および整理するために使用される主要なストレージ ハードウェアまたはデバイス内のコンポーネントです。
論理ドライブは、一般に物理ハード ディスク上に作成されるドライブ領域です。 論理ドライブは、独立して動作するため、そのパラメータと機能があります。
ここで、イメージ コピーを作成するドライブのソースを選択します。
作成するイメージの送信先パスを追加します。 フォレンジックの観点からは、別のハードディスクにコピーし、証拠品の紛失を防ぐために元の証拠品のコピーを複数作成する必要があります。
作成するイメージの形式を選択します。 イメージを作成するためのさまざまな形式は次のとおりです:
Raw(dd): これは、追加や削除なしで作成される元の証拠のビット単位のコピーです。 メタデータは含まれません。
SMART: Linux で使用されていたイメージ形式で、現在は一般的に使用されていません。
E01: EnCase Evidence File の略で、イメージングによく使用される形式で、
AFF と類似しています。
ここで、画像の詳細を追加して進みます。
ここで最後に画像ファイルの保存先を追加し、画像ファイルに名前を付けて、[完了]をクリックしてください。
保存先パスを追加したら、今度はイメージングを開始し、検証オプションをクリックしてハッシュを生成することも可能です。
ここで、イメージが作成されるまで数分待ちましょう。
イメージが作成されると、MD5 ハッシュ、SHA1 ハッシュ、不良セクターの存在を検証するハッシュ結果が生成されます。
Capturing Memory
揮発性コンテンツの内容を不揮発性ストレージ デバイスにキャプチャしてダンプし、さらなる調査用に保存する方法です。 ラム解析は、揮発性メモリのイメージを壊さずに正確に取得が行われた場合にのみ、成功する。 この段階では、システムが再起動すると揮発性データは存在しなくなるので、調査者は揮発性データを収集する判断に注意する必要があります。
さて、メモリのキャプチャから始めましょう。
メモリをキャプチャするには、ファイル > Capture Memory.
保存先パスと保存先ファイル名を選択し、メモリのキャプチャをクリックしてください。
ここで、ramがキャプチャされるまで数分待ちましょう。
Analyzing Image Dump
ここで、FTKイメージャで取得したDump RAW Imageを解析してみましょう。 解析を開始するには、File> Add Evidence Item.
ここで、すでに作成したダンプファイルのソースを選択するので、ここではイメージファイルのオプションを選択し、Nextをクリックする必要があります。
Browse をクリックして、キャプチャしたイメージ ダンプのパスを選択します。
イメージ ダンプを解析部分に添付すると、イメージ ダンプのファイルの内容を持つ証拠ツリーが表示されます。 これには、削除されたデータだけでなく、上書きされたデータも含まれている可能性があります。
さらに他のものを分析するために、今度はこの証拠項目を削除します。ケースを右クリックして、証拠項目の削除
Mounting Image to Drive
システム内のドライブとしてイメージをマウントするために、イメージをマウントします。 ファイル > イメージのマウント
イメージをドライブにマウントするウィンドウが表示されたら、マウントするイメージファイルのパスを追加して、マウントをクリックします。
これでイメージファイルがドライブとしてマウントされたことがわかります。
Custom Content Image with AD Encryption
FTK imager には試験者の要求に応じて特定の種類のファイルを暗号化できる機能が備わっています。 AD 暗号化とともにカスタム コンテンツ イメージに追加したいファイルをクリックします。
選択したすべてのファイルが新しいウィンドウに表示されるので、[画像の作成] をクリックして次に進みます。
作成する証拠に必要な詳細を入力します。
ここで作成するイメージファイルの保存先を追加し、イメージファイルの名前を付けて、AD暗号化ありにチェックし、終了をクリックします。
画像を暗号化するための新しいウィンドウがポップアップ表示されますので、画像に追加するパスワードをレンターして再入力します。
ここで暗号化されたファイルを見るために、ファイル>証拠品の追加…
ファイルソースを追加すると、暗号化ファイルを復号するウィンドウが表示されます。 パスワードを入力し、[OK] をクリックします。
有効なパスワードを入力すると、2 つの暗号化されたファイルが表示されるようになります。
Decrypt AD1 Image
カスタムコンテンツイメージを復号化するには、File> Decrypt AD1 Image.
ここで、暗号化したイメージファイル用のパスワードを入力して、[OK]をクリックする必要があります。
ここで、復号化されたイメージが作成されるまで数分待ちます。
復号化されたカスタムコンテンツ・イメージを見るために、復号化ファイルのパスを追加して終了をクリックします。
これで正しいパスワードを用いて復号化すれば暗号ファイルを参照できるようになりました。
Obtain Protected Files
特定のファイルは回復時に保護されます、これらのファイルを取得するには、File> Obtain Protected Files
新しいウィンドウがポップされますので、参照をクリックして保護されているファイルの保存先を加え、パスワード回復とすべてのレジストリフイルを言うオプションをクリックして、OKをクリックします。
これで、保護されたすべてのファイルが一箇所に表示されます。
Detect EFS Encryption
FTK Imager のこの機能を使って、フォルダまたはファイルが暗号化されていると、それを検出することができます。
フォルダ内のファイルを暗号化し、内容を保護します。
EFS暗号化を検出するには、ファイル>Detect EFS Encryption
暗号化が検出されたことを確認することができます。
Export Files
イメージ化されたファイルからファイルやフォルダを自分のフォルダにエクスポートするには、File >Export Files をクリックします。
これで、システムにコピーされたファイルとフォルダーの数のエクスポートの結果を確認できます。 Jeenali Kothari は、デジタル フォレンジックの愛好家であり、技術的なコンテンツの執筆を楽しんでいます。 あなたは、ここ
で彼女に連絡することができます。