削除されたファイルの復元 2004/05/26 伊原 秀明(Port139).

Slides:



Advertisements
Similar presentations
メモリマップドファイル オペレーティングシステム. 今日の流れ (12/10) ディスクの話の残り  ディスクを高速に使う工夫 メモリとディスクの簡単なまとめ メモリマップト・ファイル (mmap)
Advertisements

The Autopsy Forensic Browser 2003/08/26 伊原 秀明 (Port139)
メモリマップドファイル オペレーティングシステム. 今日の流れ (12/10) ディスクの話の残り  ディスクを高速に使う工夫 メモリとディスクの簡単なまとめ メモリマップト・ファイル (mmap)
ファイル管理(ファイルシス テム) オペレーティングシステム 第 11 回. ファイルとは データの集まりの入れ物 データの集まり自身 データセットと呼ぶ場合もある 両方を意味.
九州工業大学 塩田裕司 光来健一.  仮想マシンは必要なときだけ動かす使い方が一般 的 ◦ 一台の計算機上に複数の計算機を仮想的に作成できる ◦ デスクトップ  異なる OS を使用するため作成 ◦ サーバ  最大負荷に合わせた数の仮想マシンを作成  長期間使わない仮想マシンも存在する VM.
携帯電話データ消去ソフトのご案内 TEL: 〒 東京都千代田区外神田
個人情報漏えいを防止するための モバイル機器のセキュリティ対策と検討 木下研究室 田中 友之.
Ddによる複製 2004/05/24 伊原 秀明(Port139).
Linuxを組み込んだマイコンによる 遠隔監視システムの開発
確定日付 2003/05/24 伊原 秀明(Port139).
理学院 宇宙理学専攻 惑星物理学研究室 修士 2 年 徳永 義哉
安全なログオン手順 2004/08/26 Port139 伊原 秀明.
■ディレクトリエントリキャッシュ linuxではdentryという構造体に、ファイルパス名の情報を格納しメモリ上にキャッシングしている。
揮発性情報 2003/05/25 伊原 秀明(Port139).
計算機工学III オペレーティングシステム #14 ファイル: より進んだファイルシステム 2006/07/21 津邑 公暁
セキュリティ機構のオフロードを考慮した仮想マシンへの動的メモリ割当
Android端末の盗難対策のためのページキャッシュ暗号化
オペレーティングシステム 第10回 仮想記憶管理(1)
文字列検出ツール "istrings" の使い方
物理実験 I 情報実験第9回 2004/12/10 小西 丈予 2003/12/12 中神 雄一
物理実験 I 情報実験第9回 Modified 2005/12/2 徳永 義哉Original 2003/12/12 中神 雄一
Virtual Editionのご紹介 (株)ネットジャパン 法人営業部 2012年7月18日 1.
Xenを用いたクラウドコンピュー ティングにおける情報漏洩の防止
第3回 ファイルとフォルダ 伊藤 高廣 計算機リテラシーM 第3回 ファイルとフォルダ 伊藤 高廣
コンピュータリテラシー 第3回授業の復習 基本的なUNIXコマンド
Linux リテラシ 2006 第2回 基本コマンド2.
ファイルやフォルダを検索する ①「スタート」→「検索」→「ファイルとフォルダ」とクリックする。
ファイル・フォルダ名の大文字・小文字の区別 ファイル・フォルダ名の特殊記号およびスペースの混入
バージョン管理超入門 まだファイルコピーしてます?
Linux のインストール ~パーティション管理とマルチブート~
ファイルシステムとコマンド.
NTFS 2004/05/24 伊原 秀明(Port139).
ライブ・システムの複製 Rev 0.3 dd.exe、md5sum.exeは以下のURLにあるツールを利用
ファイルシステムキャッシュを 考慮した仮想マシン監視機構
Debian GNU/Linux ー Linuxインストールに必要な基礎知識 ー 三上 彩 鈴木 倫太郎
(original Takagi & Saito, 2007)
メモリ暗号化による Android端末の盗難対策
小型デバイスからのデータアクセス 情報処理系論 第5回.
MSBuild 色々出来るよ 2011/04/02 お だ.
LogStructuredFileSystem Servey
データ構造と アルゴリズム 第十一回 理工学部 情報システム工学科 新田直也.
Flyingware : バイトコード変換による 安全なエージェントの実行
拡張ボリューム 搭載NASのご紹介。 + の悩みを解決する データ管理 筐体台数の増加 全体の50% ディスク管理方法に見る
計算物理学基礎 第1回 UNIXの基礎 C言語の基本.
SpectreとMeltdown ITソリューション塾・第28期 2018年5月30日 株式会社アプライド・マーケティング 大越 章司
建設・建築現場のデータもクラウドへ自動バックアップ!
コードクローンに含まれるメソッド呼び出しの 変更度合の分析
コードクローンに含まれるメソッド呼び出しの 変更度合の調査
第10回 ファイル管理 論理レコードと物理レコード アクセス方式 ユーザから見たファイルシステム 補助記憶装置の構成
NASのアクセス履歴を記録・検索できる! マイナンバー制度対応のファイルサーバー(NAS)ログ管理ソフト
他のプロセスに あたえる影響が少ない 実行時ミラーリングシステム
KEK 波戸 、平山 最終変更 テキスト:installation_guide.pdf
VMのメモリ暗号化によるクラウド管理者への情報漏洩の防止
VMのメモリ暗号化による クラウド管理者への情報漏洩の防止
VM専用仮想メモリとの連携による VMマイグレーションの高速化
実行時情報に基づく OSカーネルのコンフィグ最小化
仮想計算機を用いたサーバ統合に おける高速なリブートリカバリ
第7回 授業計画の修正 中間テストの解説・復習 前回の補足(クロックアルゴリズム・PFF) 仮想記憶方式のまとめ 特別課題について
Microsoft Office クイックガイド ~応用編~
Talkプログラムのヒント 1 CS-B3 ネットワークプログラミング  &情報科学科実験I.
IaaS環境におけるVMのメモリ暗号化による情報漏洩の防止
ファイルやフォルダを検索する ①「スタート」→「検索」とクリックする。 ②「表示項目」から適当なものを選択する。
Microsoft Office クイックガイド ~応用編~
プログラミング演習I 2003年7月2日(第11回) 木村巌.
筑波大学附属視覚特別支援学校 情報活用 村山 慎二郎
オペレーティングシステム (ファイル) 2006年11月16日
オペレーティングシステム (ファイル) 2008年11月17日
強制パススルー機構を用いた VMの安全な帯域外リモート管理
ファイル操作について (1).
強制パススルー機構を用いた VMの安全な帯域外リモート管理
Presentation transcript:

削除されたファイルの復元 2004/05/26 伊原 秀明(Port139)

削除ファイル ディスク上には削除されたファイル(データ)がそのまま残っている可能性がある ファイル(データ)が削除されると、使用していた領域は空いた(未使用)領域となり、再利用される この為、削除されたデータは消えやすく、常に復元できるとは限らない(揮発性情報) ディスクへの書き込みを発生させないこと © Hideaki Ihara(Port139).

Forensicにおける削除データ Computer Forensicsでは、複製したファイルシステム イメージから、データを復元することになる 削除ファイルを復元することで、証拠となる データを発見できる可能性がある (ツールの圧縮ファイル,Readmeなど) 未割当て領域からもデータを収集し、証拠となりそうな情報を探し出す © Hideaki Ihara(Port139).

削除ファイル/断片データ 割り当て済み領域 ファイル(データ) 削除されたファイル 復元可能 削除されたファイル 断片 未割り当て領域 未使用 残されたファイル (管理情報なし) © Hideaki Ihara(Port139).

削除済みデータ復元ツール 専用ツール FINALDATA http://www.finaldata.ne.jp/ R-Studio http://www.r-tt.com/ http://canon-sol.jp/product/dr/index.html 削除されたファイルを一時退避 Undelete 3.0 http://www.sohei.co.jp/ © Hideaki Ihara(Port139).

削除ファイル復元(R-Studio) HDD R-Studio dd Image File ファイル/フォルダ 削除されたファイル/フォルダ NTFS代替データストリーム 読み込み Image File 削除された領域 R-Studioはddで複製したファイルシステム イメージから復元が可能 © Hideaki Ihara(Port139).

部分削除 セクタ 使用部分 Slack 部分削除 削除 Slack データを一部削除 使用部分 Slack スラック部分の調査 部分的にデータが削除された場合、復元・調査が困難 © Hideaki Ihara(Port139).

断片データの調査 セクタ 使用部分 Slack スラック部分の調査 ファイル削除 復元可能部分 Slack 削除ファイルの復元 一部使用 上書き 断片部分 Slack 断片情報の調査 復元できなくとも、断片部分にデータが残っている可能性がある © Hideaki Ihara(Port139).

未割り当て領域の収集・調査 データ Slack データ 未使用 断片 データ 収集 Slack 未使用 断片 読み取り可能 文字列の調査 未割り当て領域の集合ファイル 読み取り可能 文字列の調査 ※実行するコマンドによってはSlackスペースを含まない場合もある © Hideaki Ihara(Port139).

削除ファイル復元の妨げ データの書込み デフラグメント 完全削除ツール © Hideaki Ihara(Port139).

完全削除ツール 機密情報の保護などの目的に利用 (例:廃棄パソコンのHDDからの情報漏洩を防ぐ) 削除ファイルのエントリ, データを完全削除 未使用領域のデータを完全削除(cipher等) ファイル等を復元できないように削除するソフトウェア http://www.unixuser.org/~haruyama/security/user_security/sakuzyo_tool.html Phrack 59「Defeating Forensic Analysis on Unix」 http://www.phrack.com/show.php?p=59&a=6 日本語訳 http://www.monyo.jp/technical/samba/rfc/p59-0x06.ja.txt © Hideaki Ihara(Port139).