コンピューター技術専門のデータ収集ツール

この記事では、コンピューターフォレンジック（フォレンジック）で情報キャリアのコピー（イメージ）を作成するさまざまな方法のいくつかの機能について説明します。 この記事は、ISインシデントに対応し、内部調査を実施する情報セキュリティ部門の従業員に役立ちます。 コンピューター技術の専門家（以下、CTE）を実施する法医学の専門家が、新しい発見を期待しています。

引用符で始めるには：

著者は、CHP中に元のキャリアを調査することは一般に望ましくないと考えています（そして多くの研究者はこれに同意しています）。 情報の不変性を保証し、繰り返しまたは追加の検査の可能性を残すために、元の情報をそのまま残す必要があります。 そして、すべての研究はそのコピーで行われるべきです。 これは、信頼性が高いだけでなく、より便利でもあります。なぜなら、専門家が持っているツールにより適したメディアでコピーを作成できるためです。

N.N. フェドトフ。 フォレンジック-コンピューターフォレンジック

作成された画像が法医学的に信頼できるものであるためには、まず、作成の過程でテスト媒体の内容を変更しないことが必要です。次に、抽出後、イメージはテスト媒体にビット単位で対応する必要があります。 このようなイメージには、ライブファイルだけでなく、サービスデータ、ファイルシステムの空き領域、およびファイルシステムによって割り当てられていない領域も含まれます。

チャイナショップの象のように、調査中のメディアを通常のオペレーティングシステム（OS）に接続すると、元に戻せなくなります。標準構成では、OSは検出後すぐにデバイスをアクティブにし、ファイルシステムをマウントし、ユーザーに確認せずにその内容を変更します。 たとえば、Windowsは、必要に応じてファイル属性のタイムスタンプを変更し（場合によって）、非表示のごみ箱フォルダーを作成し、構成情報を保存します。

メディア上の情報の変更を防ぐには、ハードウェアまたはソフトウェアの2つの方法があります。

ハードウェアレコードロック

私はハードウェアソリューションを扱っていませんでしたが、インターネットから少し理論を説明します。 調査対象のストレージメディアをコンピューターに接続するためのレコードロック（ブリッジ）があり、調査対象のディスクの完全なコピーとイメージを自律的に作成できる複製機があります。

レコードブロッカーは、OSからの記録コマンドをインターセプトし、ストレージメディアへの送信を防ぎます。 可能な場合は常に、デバイスが読み取り専用モードで接続されていることをOSに通知します。そうでない場合は、OSに書き込みエラーを通知するだけです。 一部のデバイスは、内蔵メモリを使用して記録されたデータをキャッシュし、ディスク上のデータが実際に変更されたように見えるようにします。

ハードウェアソリューションには確かに利点がありますが、欠点もあります。

• 安くはありません。 たとえば、T35u書き込みロックの希望小売価格は349.00ドル、Tableau TD2uデュプリケーターは1,599.00ドルです。

  
  
  
  
  
  
  
• そして、彼らは完璧ではありません。 ハードウェアデバイスがデバイスへの書き込みコマンドをスキップすることがありました（ 例 ）。

フォレンジックブートディスク

領土が分散している企業では、 ソフトウェアの検証は避けられません（特にIT予算の半分を不要な鉄に分割したくない場合）。 ソフトウェアソリューションは、大量のインシデントが発生した場合に時間を節約します。コンピューターの調査に必要な数のブート可能なフラッシュドライブを作成し、すべてのコンピューターで同時にイメージの作成を開始できます。 これらのブート可能なフラッシュドライブにどのようなソフトウェアを配置するかを決定するだけです。

Linuxディストリビューション

多くの特殊なLinuxディストリビューションの1つでイメージを撮ることができます。それらのいくつかを以下に示します。RipLinux、DEFT Linux、CAINE、Paladin、Helix、Kali。 いくつかの場合、起動時にフォレンジックモード（またはそのようなもの）を選択する必要があります。 これらのディストリビューションの一部には、すでに画像分析ソフトウェアが含まれています。

Linuxディストリビューションでの読み取り専用の問題については、 こちらをご覧ください 。 しかし、Linuxの主な問題は、使用の相対的な複雑さであり、その結果、十分な専門知識を持つスタッフの不足です。 Linuxでは、コマンドラインを使用してイメージを取得する必要があります（たとえば、Linuxのftk imagerはコンソールバージョンにのみ存在します）.1つのタイプミスですべての証拠を破壊することができます（ この物語がバイラル広告であることが判明した場合でも、多くの人が信じていたわけではありません）。

Windowsブートディスク

通常のIT従業員のイメージの作成を任せるには、エラーの可能性を最小限に抑える必要があります。 Windows Forensic Environment（WinFE）の特別なアセンブリは、通常のWindowsに似た多くの方法でグラフィカルインターフェイスを備えていますが、必要な機能によってのみ制限されていますが、これはうまく機能しています。 WinFEは、Microsoftで働いているコンピューターフォレンジック科学者によって作成されました。 アセンブリはWinPEに基づいており、ブート時にパーティションをマウントしない「フォレンジックに健全な」Linuxディストリビューションと同様に機能します。

WinFEのいくつかの長所を次に示します。

• Windowsフォレンジックアプリケーション（ポータブルバージョン）を使用できます。
• ほとんどの法医学の専門家はすでにWindowsを使用しています
• 無料（Windowsのライセンスを持っている場合）
• 組み立てとカスタマイズが比較的簡単
• 深刻な使用エラーの機会が少ない

WinFEをビルドする最も簡単な方法は、WinBuilder Mini-WinFEプロジェクトのユーティリティを使用することです。 アセンブリに含めるWindowsディストリビューションとソフトウェアが必要になります。 出力では、CDまたはUSB（ Rufusを使用）に書き込むことができるISOファイルを取得します。

WinFEを使用する主なシナリオ：

1. WinFEを使用してブートディスクを作成します。
2. テストコンピューターにWinFEをダウンロードします。
3. 調査対象のコンピューターのディスクイメージを削除します。 画像はWinFEメディアまたはその他のメディアに記録されます。

ディスクを接続する手順でのWinFEの特別な動作については、2つのレジストリパラメーターが原因です。

• HKEY_LOCAL_MACHINE \ system \ ControlSet001 \ Services \ MountMgr NoAutoMount DWordパラメーターは1に 設定されます。 その後、Mount-Managerサービスはストレージデバイスを自動的にマウントしません。
• HKEY_LOCAL_MACHINE \ system \ ControlSet001 \ Services \ partmgr \パラメーター SanPolicyパラメーターは、Windowsのバージョンに応じて値「3」または「4」を取ります。

WinFEには少なくとも7つのバージョンがあり、それぞれ32ビット版と64ビット版があります。

Windows FE 2.0 (6.0.6000 - Vista) Windows FE 2.1 (6.0.6001 - Vista SP1/Server 2008) Windows FE 3.0 (6.1.7600 - 7/Server 2008 R2) Windows FE 3.1 (6.1.7601 - 7 SP1/Server 2008 R2 SP1) Windows FE 4.0 (6.2.9200 - 8/Server 2012) Windows FE 5.0 (6.3.9600 - 8.1) Windows FE 5.1 (6.3.9600 - 8.1 Update 1)
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

各バージョンには独自の機能セット、 詳細な比較がありますが、32ビットバージョンのWindows FE 5.xをお勧めします（詳細は以下）。

そのため、ブート中にWinFEはパーティションをマウントしませんが、特別なユーティリティであるWrite Protect Tool（WProtect.exe、著者Colin Ramsden）を使用して、ユーザーに個別にマウントを提供します。 名前が示すように、このユーティリティはディスクへの書き込みを防ぎます。

ただし、WinFEには意図しない録音のケースもありました。 これらのケースをよく研究し、Windows <4.0の古いバージョンに適用し、ユーザーデータに影響を与えないことが重要です。 これらはいわゆるディスク署名にのみ影響します。これらはマスターブートレコード（MBR）の4バイトで、ディスクが接続されたときにWindowsが追加します（以前NTシステムに接続されていなかった場合）。 ディスク署名の詳細については、Mark Russinovich によるこの記事をご覧ください。 この投稿では、Windowsがディスク署名を変更するケースについて詳しく説明しています。

メインのWinFEブログはここにあります 。

画像作成

信頼できるOSをダウンロードしたら、イメージの作成を開始できます。 黄色のリーダーシャツはE01形式（Encase）にあり、これにはいくつかの理由があります。

• 専門家によって認識される形式-これは法廷に来る場合に重要です。
• ほとんどのフォレンジックユーティリティはこの形式をサポートしています。分析の段階では、イメージを変換する必要はありません。
• 任意の圧縮率-最終的なサイズと画像の作成に必要な時間はそれに応じて異なりますが、状況に応じて希望の程度を選択できます。
• 任意のフラグメントサイズ-イメージをネットワーク経由で簡単にコピーしたり、FAT32ファイルシステムに保存したりするために、イメージを4000 MBのフラグメントに分割できます。
• さまざまなデータを保存できるサービスフィールド（たとえば、画像を撮影する専門家の名前、調査中のコンピューターの時刻と実際の時刻の不一致、画像を取得したディスクのシリアル番号など）。
• 整合性制御-作成の段階で、イメージのチェックサムが計算されます。

E01形式のイメージを作成するには、実績のある無料のFTK Imager Liteを使用するのが最適です。これはWinFEブートディスクに含めることができます。 ところで、Use AD Encryption機能（パスワード保護）を使用することはほとんど意味がありません。 この保護は簡単に取り外しできます。

おわりに

この記事を読む時間がない人には必須の部分です。調査中のコンピューターから画像を取得するには、FTK Imager LiteにバンドルされているWinFEを使用し、E01形式で画像を保存します。

PSこの記事の範囲外では、フラッシュドライブのツールキット（ フラッシュメモリ：コンピューターフォレンジックの問題 、 消去を復元できない ）、および実行中のシステムからメモリダンプを削除するためのツールキットが残っていました。

Habrにとって興味深い場合は、オープンソースソフトウェアを使用して、受信した画像を分析する方法について説明します。