フォレンジック(Forensics)

誤って削除したファイルを簡単に復元する方法(削除データの復旧方法)

誤って削除したファイルを簡単に復元する方法(削除データの復旧方法)

1. 概要

うっかり誤ってファイルを削除してしまったことってありますよね。ファイルのサイズが大きかったり、SHIFT+DELで完全削除してしまった場合などは「ごみ箱」に残っていないので、ファイルの復元をあきらめてしまう人が多いのではないでしょうか?
実は前述のような「ごみ箱」に残っていなくても、ファイルを復元できる方法があるのです!

Windowsでファイルを削除してエクスプローラからはファイルが見えない状態になっても、実はファイルのデータは残っているのです!このデータを復元することで、ファイルを回復することが出来ます。今回はデジタルフォレンジックのソフトウェアを使って復元する方法について紹介します。市販のデータ復旧ソフトのお試し版は、復元するファイルサイズやファイル数に制限がありますが、今回紹介するソフトウェアには制限がありません!

2. 削除したファイルを復元するソフトウェア

今回削除されたファイルを復元するために使用するソフトウェアは Autopsy というソフトウェアです。ファイルシステムを詳細に調べることができるフォレンジックのソフトウェアです。犯罪調査やインシデントレスポンスなどの用途で米軍やセキュリティ企業などでも多く利用されているソフトウェアです。下記のURLからダウンロードできます。

Autopsy - The Sleuth Kit
http://www.sleuthkit.org/autopsy/download.php

3. 削除されたファイルの復元方法

この記事は作成中です。(2015/5/12)


BitLocker で暗号化されたボリュームをマウント

BitLocker で暗号化されたボリュームをマウント

概要

libbde を使うことで BitLocker で暗号化されたボリュームをマウントすることができる。マウントするためには、BitLocker の鍵が必要となる。マウント可能な形式は、デバイスでもボリュームのRAW イメージファイル。

使用例

bdemount -r 279812-437203-145785-572834-354268-384311-030417-716072 /dev/sda1 /mnt/bdevolume/


デジタルフォレンジック製品 EnCase に関する情報

デジタルフォレンジック用ソフトウェア EnCase に関する情報

忘れないようにメモしておきます。


  • Forensickb Blog: EnCase EnScript to parse each NTUSER.DAT for RecentDocs
  • http://t.co/tWrDUeUSl0

    フォレンジック調査に必要なツールが収録された仮想マシン(VM)イメージ - SIFT(SANS Investigative Forensic Toolkit) Workstation を使ってみた

    フォレンジック調査に必要なツールが収録された仮想マシン(VM)イメージ

    - SIFT(SANS Investigative Forensic Toolkit) Workstation を使ってみた


    キーワード: Forensic、フォレンジック、アプライアンス、VMイメージ、SIFT、SANS

    このエントリーをはてなブックマークに追加

    スポンサーリンク

    概要

    SIFT(SANS Investigative Forensic Toolkit)は、米国のSANS Institute が無償で提供しているデジタルフォレンジック用の仮想マシンです。フォレンジックに必要となるツール類が予めインストールされているため、すぐに調査に利用でき非常に便利です。  
    提供される仮想マシンは VMware イメージの形式になっていますが、VirtualBox などの他の仮想化ソフトウェアでも利用が可能です。今回は無償の仮想化ソフトウェア VirtualBox で利用する方法を紹介します。SIFT Workstationは、以下のURLからダウンロード可能です。ダウンロードには SANS Institute のアカウントが必要になります。アカウントは無償で作成できるので登録しておきましょう。

     

    Digital Forensics Training | Incident Response Training | SANS       
    https://digital-forensics.sans.org/login

     

    SANS SIFT Kit/Workstation: Investigative Forensic Toolkit Download    
    http://digital-forensics.sans.org/community/downloads

    SIFT Workstation 3.0 からは、ベース OS として 64 bit の Ubuntu 12.4 が採用されています。  
    早速 VirtaulBox で 64bit の ubuntu の仮想マシンを作ろうとしたが 64bit の ubuntu が選べませんでした。調べてみるとPC の BIOS で 仮想化支援機構(VT-x/AMD-V) を有効化しておく必要があることがわかりました。仮想化支援機能は、VirtualBoxがソフトウェアで処理しているリソース要求などの割り込み処理を、ハードウェアで処理する機能です。64bit の仮想化マシンを作るには、この機能を有効にしておく必要があるようです。

    今回は、以下の方法で仮想化支援機能を有効にして 64bit の ubuntu 仮想マシンを作成することができました。

    支援機構(VT-x/AMD-V)を有効にする方法

    Lenovo の BIOS の場合、電源押した直後に ENTER で BIOS 設定画面が表示されます。  
    BIOS メニューの Advanced 画面で「Intel(R) Virtualization Technology」を Enable すれば OK でした。

    VirutalBox で利用する方法

    仮想マシンの新規作成で「ubuntu 64bit」を選び、「ハードディスクを追加しない」状態で作成  
    「SIFT Workstation 3.0.7z」に入っている VMDK を IDE に追加します 
    最初に OS がインストールされているシステムドライブである「SIFT Workstation 3.0 Core Drive.vmdk」を追加  
    その後、ケースを格納するディレクトリ「/cases」にマウントされるドライブ「SIFT Workstation 3.0 Cases.vmdk」を追加する  
    電源ボタンを押すと SIFT Workstation が起動します。


    SIFT Workstation のデフォルトのユーザ名とパスワード

    SIFT Workstation は、以下のユーザ、パスワードでログインできます。ログイン後は、パスワードを変更します。

     

    User: sansforensics    
    Password: forensics

    以下のコマンドでパスワードを変更できます。

     

    > password

    root 権限を使いたい場合は、sudo コマンドを利用します。

     

    > sudo su    
    #

    SIFT Workstation の日本語環境の設定

    スポンサーリンク

    SIFT Workstation はデフォルトではUSのタイムゾーンになっています。フォレンジック調査ではタイムライン分析等で時刻情報が重要な情報になるため、調査対象のタイムゾーンと合わせておいた方が間違いや混乱がなく良いと思います。また、日本語入力もできません。日本語のキーワードで検索するときなどに必要になってくるので、日本語入力が出来るように設定しておく必要があります。

  • 日本のタイムゾーン(JST)の設定  

    dpkg-reconfigure tzdata    
    Asia -> Tokyo

  • 日本語キーボードの設定  

    dpkg-reconfigure keybord-configuration    
    DELL -> Japanese -> Japanese

  • 日本語ロケールの設定  

    dpkg-reconfigure locales    
    ja_JP.UTF-8  up-to-date

     

    update-locale LANG=ja_JP.UTF-8

     

    vi /etc/environment    
    LANG="ja_JP.UTF8"

  • 日本語入力の設定
  • メニューバーから「DASH ホーム」-「入力メソッド切替器」で「SCIM」を選択

    追加パッケージ

    自分が普段使っているツールや調査分析に必要なツール類を追加します。 ここでは nkf のような文字コード変換プログラムや php プログラムの解析のため php-cli をインストールしたりしています。

    apt-get update  
    apt-get install chkconfig  
    apt-get install nkf  
    apt-get install language-pack-ja  
    apt-get install scim-anthy  
    apt-get install apache2  
    apt-get isntall squid  
    apt-get install php5-cli

     

    削除パッケージ

    SIFT Workstation の VMイメージは VMware 形式で作られており、VMware Tools がインストールされています。今回は VirtualBox で利用するため VMware tools をアンインストールしておきます。

    # apt-get autoremove vmware-*

    VirtualBox Guest Additions インストール

    VirutualBox のメニューの「デバイス」から「Guest Additions のCDイメージの挿入」を選ぶ

    # cd /media/VBOXADDITIONS_*  
    # sh ./VBoxLinuxAdditions.run

     

    収録されているフォレンジック調査ツール

    スポンサーリンク

    SIFT に収録されているツール(一部)

     

                                                                                                                                                                                                                                                                                                                   
    ツール名 概要
    regripper レジストリをパースしてわかりやすく表示してくれるツール
    log2timeline ファイルシステムやレジストリ、ブラウザ履歴などさまざまなデータからタイムラインを作成してくれるツール
    sleuthkit ファイルシステムを解析するツール。削除されたファイルの調査や復元などが出来る。FAT/NTFS/EXT/HFSなど多くの種類のファイルシステムをサポートしている。mmls, fls, ils, icat, istat, blkls, blkcat などのコマンド群
    dcfldd ディスクイメージを作成するツール。GNU dd をフォレンジック用に改良したツール。
    dc3dd ディスクイメージを作成するツール。GNU dd をフォレンジック用に改良したツール。
    volatility メモリフォレンジックツール。メモリーイメージを解析することができる。
    foremost カービングという方法で削除されたファイルを復元するツール。Sleuthkit の blkls でファイルシステムの未使用領域のイメージを作成して、そのイメージに対して実行する。
    deleted.pl 削除されたレジストリデータを復元してくれるツール
    qemu 仮想ディスク vmdk などを raw イメージに変換するときなどに利用する

     

    インシデント発生時の対応 -自動証拠収集ツール Triage-IR

    インシデント発生時の対応 -自動証拠収集ツール Triage-IR

    Triage-IR の概要

    https://code.google.com/p/triage-ir/

    Windows システムでウイルス感染や不正アクセスなどが発生した際に調査に必要となる情報を自動収集してくれるプログラムです。


    Triage-IR の使い方

    1. Triage-IR を USBメモリなどに格納しておく(必要に応じて triage.ini を変更)
    2. 調査対象システムに USB メモリを接続して、Triage-IR を起動
    3. Triage-IR の画面で「Run」ボタンを押すと情報収集開始
    4. Triage-IR と同じディレクトリの「YYYYMMDDhhmmss - コンピュータ名 Incident」のディレクトリに収集したデータが格納される

    ボタン一つでメモリダンプとレジストリを取得してくれるので、エンドユーザに情報収集をお願いするときに便利そうです。また、メモリダンプがあるので、大きめのUSBメモリに入れておいたほうがよさそうです。


    Windows Journal Parser

    Windows Journal Parser

    Windows Journal Parser
    https://www.tzworks.net/prototype_page.php?proto_id=5

    NTFS のジャーナルパーサーみたいです。

    11/11/2012, 03:05:10.454, RHDSetup - コピー.log, data_overwritten; file_added; file_created; attrib_changed; file_closed
    11/11/2012, 03:05:16.567, test.log, file_renamed; file_closed
    11/11/2012, 03:05:18.736, $IEH1O1Z.log, file_added; file_created; file_closed
    11/11/2012, 03:05:18.736, $REH1O1Z.log, file_renamed; file_closed
    11/11/2012, 03:05:18.743, $REH1O1Z.log, access_changed; file_closed

    Windows INDX Slack Parser (wisp)

    https://www.tzworks.net/prototype_page.php?proto_id=21

    File System Forensic Analysis
    にWindows NTFS Journal ファイルに関する詳しい説明があります
    ハードディスクからのデータ復元やフォレンジックに必要な知識が得られます。


    ハニーポット - 攻撃者が行う攻撃内容や侵入後の行動などを観察するシステム

    ハニーポット

    ハニーポットとは、攻撃者が行う攻撃内容や侵入後の行動などを調査研究するために設置される囮(おとり)システムです。わざと脆弱なシステムにしておき、攻撃者に攻撃や侵入してもらいます。

    The Honeynet Project

    https://www.honeynet.org/

    Capture-HPC

    高対話型のハニーポット

    VMware で作った本物のOSを利用して、攻撃者の攻撃手法や侵入後の行動を記録するハニーポットシステム

    http://rootdown.cocolog-nifty.com/memo/2008/10/capture-hpc.html



    高対話型ハニーポット Capture-HPC

    高対話型クライアント ハニーポット Capture-HPC

    スポンサーリンク

    1. ハニーポットとは

    ハニーポットは、攻撃者による攻撃や侵入手法、マルウェアの動作などを調査・研究するために、わざと侵入され易い環境にした囮システムのことです。主にサイバーセキュリティのベンダーや研究者が調査・研究のために活用しています。また、企業内ネットワークなどに設置して、不審な活動がないか検知するために利用されることもあります。

    ハニーポットシステムは調査・研究などの目的により、サーバ型やクライアント型などに分類されます。サーバ型は、攻撃者からの攻撃や侵入を待ち受ける受動的なシステムです。クライアント型は、利用者が使用するPCを模したもので、Webブラウザなどで攻撃者が攻撃を仕掛けたWebサイトなどをクローリングして、自ら感染・侵入させるシステムです。

    2. 高対話型クライアント ハニーポット Caputre-HPC

    Capture-HPC
    https://projects.honeynet.org/capture-hpc/wiki
    VMWare のホストOSを使うクライアントハニーポット


    • capture-server-2.5.1-389 は revert が含まれていない
      - linux だとエラーが出る
      - capture-server-2.5.1-384 にはある
    • config.xml の virtual-machine-server の port の設定は反映されない
      - 902 にしておくしかない
    • VIX は VMware-Server-*.tar.gz 添付のものを使う
      - 違うものを入れている場合は、vmware-vix-distrib/bin/vmware-uninstall-vix.
      pl で削除し VMware-Server を再インストールする
    • ログイン画面で Snapshot を取得する(ログイン後だとうまく行かないことが多い)
    • vmrun コマンドでテスト
      vmrun -h [IPアドレス] -u [ユーザ] -p [パスワード] -P [ポート番号] [コマンド(start/stop/suspend ...etc)] [vmx ファイルへのパス]

    vmrun -h 192.168.0.2 -u root -p passwd -P 902 start /vm/Capture-HPC/winxp/winxp.vmx

    スポンサーリンク

    3. ハニーポット関連URL


    記事一覧

    スポンサードリンク


    Twitter


    無料ブログはココログ

    ブログ検索