ライブ・システムの複製 Rev 0.3 dd.exe、md5sum.exeは以下のURLにあるツールを利用

Slides:



Advertisements
Similar presentations
ファイル管理(ファイルシス テム) オペレーティングシステム 第 11 回. ファイルとは データの集まりの入れ物 データの集まり自身 データセットと呼ぶ場合もある 両方を意味.
Advertisements

Windows 環境から SAS を使う 長野 祐一郎 1. データのダウンロード 2. データの加工 3. プログラムの作成 4.TeraTerm によるプログラムの実行 5. 処理結果の確認 6.SAS のデータ処理を概観 今回の授業では、 Windows 環境で作成されたデータを.
1 Layout Utilities の紹介 Layout Utilities とは、お客様のプログラムに 流し込み印刷を簡単に組み込めるソフトウエア開発ツールです 無償 流し込み印刷の例.
0 クイックスタートガイド|管理者編 スマートデバイスのビジネス活用を支援する法人向けファイル共有サービス.
1 PC の情報を得る - 「システム情報」 ①「スタート」 → 「すべてのプログラム」 → 「アクセサリ」 → 「システム ツール」 → 「システム情報」とクリックする。 ②左欄の項目を選択すると、右欄に情報が表示される。
2012 株式会社ユニティ 1 「貸出管理システム」 Ver2.0 Lending Manager2 ※画面は Windows 7 による動作イメージです.
Copyright © the University of Tokyo 文字化けの背景を知る. Copyright © the University of Tokyo 課題の概要 日本語の文字コードについて理解を深める  MacOS( テキストエディット ) で利用可能なエ ンコーディング ( コード化方式.
第5章 JMPのインストールと基本操作 廣野元久
目次(電子納品 操作手順) ※ページはスライド番号
Ddによる複製 2004/05/24 伊原 秀明(Port139).
応用コース:ワープロを活用する WORD2000 1回目 基礎コースの復習(第1章と付録) 2回目 文字の入力(第2章と第4章)
コンピュータについて学ぶ必要性 ● 現代社会での重要性。 ● 小規模事業所では、最も若い人が最も頼りにされる。
Virtual Editionのご紹介 2012年12月12日.
メール暗号化:秘密鍵・公開鍵の作成  作業手順 Windows メール(Vista).
7-1.WEKOコンテンツ 一括登録 マニュアル Version2.5
実習1:コマンドシェルの使い方.
ご使用の前に 使用可能なPC環境 Windows XP SP2 以上
理学院 宇宙理学専攻 惑星物理学研究室 修士 2 年 徳永 義哉
UNIX利用法.
安全なログオン手順 2004/08/26 Port139 伊原 秀明.
UNIX利用法 情報ネットワーク特論資料.
情報検索概説II 第8回 パソコン組み立てと記憶装置 1999/11/25.
揮発性情報 2003/05/25 伊原 秀明(Port139).
Windows 7 における デフォルト ユーザー プロファイルの カスタマイズ方法
Linux インストール      のための基礎知識 物理実験 I 情報実験第9回 2003/12/12 中神 雄一.
物理実験 I 情報実験第9回 2004/12/10 小西 丈予 2003/12/12 中神 雄一
物理実験 I 情報実験第9回 Modified 2005/12/2 徳永 義哉Original 2003/12/12 中神 雄一
.NET テクノロジー を利用した SAP ソリューションの拡張 (3階層化) (評価環境構築ガイド)
スキルチェック Unix編.
Virtual Editionのご紹介 (株)ネットジャパン 法人営業部 2012年7月18日 1.
デジタルポートフォリオ作成支援ツール PictFolio 使用マニュアル
ファイルやフォルダを検索する ①「スタート」→「検索」→「ファイルとフォルダ」とクリックする。
PCの情報を得る - 「システム情報」 ①「スタート」→「すべてのプログラム」→「アクセサリ」→「システム ツール」→「システム情報」とクリックする。 ②左欄の項目を選択すると、右欄に情報が表示される。
コントロールパネル ◎コントロール パネル: コンピュータのさまざまな機能を設定するための画面
talend活用事例 ・ナビゲータグラフのカスタマイズにおける事例 ・CSVダウンロードでのカスタマイズ事例
オンライン登記申請マニュアル 【第4段階】 オンライン登記申請編
コントロールパネル ◎コントロール パネル: コンピュータのさまざまな機能を設定するための画面
削除されたファイルの復元 2004/05/26 伊原 秀明(Port139).
NTFS 2004/05/24 伊原 秀明(Port139).
Debian GNU/Linux ー Linuxインストールに必要な基礎知識 ー 三上 彩 鈴木 倫太郎
(original Takagi & Saito, 2007)
軌跡とジオメトリー表示プログラム CGVIEW(Ver2.2)の改良
スティックライト for USB USB-ROMの開発手順について WindowsがUSBメモリから起動します。 株式会社ロムウィン
文字化けの背景を知る.
第7章 データベース管理システム 7.1 データベース管理システムの概要 7.2 データベースの格納方式 7.3 問合せ処理.
情報コミュニケーション入門b 第6回 Part1 オペレーティングシステム入門
情報コミュニケーション入門e 第11回 Part1 オペレーティングシステム入門
コンピュータ リテラシー 担当教官  河中.
プロユースな先進スペックを、だれでも手軽に。
拡張ボリューム 搭載NASのご紹介。 + の悩みを解決する データ管理 筐体台数の増加 全体の50% ディスク管理方法に見る
情報処理基礎 2006年 6月 22日.
ノートコンピュータ プロジェクタ(基本編)
データを復元不可能な状態まで完全抹消 データを復元不可能な状態まで完全抹消 完全抹消ソフトです! 2017年6月23日(金) 新発売
Virtual Editionのご紹介 2012年7月26日.
SPARS-J デモ 山本哲男 立命館大学 情報工学部 2018/12/1 SPARS-J デモ.
学校におけるネットワークの運用と技術 テクニック編.
RD セッション ホストにおける RDC クライアントの シングル サインオン (SSO) について
スマートデバイスのビジネス活用を支援する法人向けファイル共有サービス
単語登録(1) ◎MS-IMEの「単語登録」に、単語、語句、記号など自分がよく使うものを登録しておくと、便利である。
情報コミュニケーション入門b 第6回 Part1 オペレーティングシステム入門
情報コミュニケーション入門e 第11回 Part1 オペレーティングシステム入門
ECサイト for 販売大臣マニュアル 平成24年 12月作成 株式会社 インターメディア・プランニング.
第4回 ファイル入出力方法.
~目次~ Ⅰ.動作環境 Ⅱ.ファイルのダウンロード Ⅲ.システムのインストール Ⅳ.初期設定 Ⅴ.アンインストール
表計算 Excel 演習 1.Excel を使ってみる.
シニアPCマザーズ 平成29年度第5回会員相互勉強会 2017年11月24日(金) 13:30~ 於:雁宿公民館 発表者:吉田恭子
本当は消去できていない!? ~データを完全消去する方法~
本当は消去できていない!? ~データを完全消去する方法~
TCP/IP 通信テストツール TcpTestTool by PipeKatoo!
単語登録(1) ◎MS-IMEの「単語登録」に、単語、語句、記号など自分がよく使うものを登録しておくと、便利である。
Presentation transcript:

ライブ・システムの複製 Rev 0.3 dd.exe、md5sum.exeは以下のURLにあるツールを利用 Forensic Acquisition Utilities http://users.erols.com/gmgarner/forensics/

図 ③ ① ⑤ ⑥ ⑦ ④ ② 安全なプログラムCDをセット 外付け 大容量HDD (複製先) 利用前に内容の消去を行う ddコマンドを使い ドライブを複製 ③ ① ⑤ ログ等は印刷 ⑥ ⑦ ④ ② 複製元ディスク、 ドライブ サイズ などを確認 複製したデータは 書き換え不可能 メディアへも保存 操作記録 を紙へ 記入する

あ 複製先の準備 番号 作業項目 開始時刻 備考 確 認 1 複製先ハードディスクを用意・確認する : : 型番: □ 2  : :  型番: □ 2 複製先ハードディスクを消毒する(省略時は3へ) コマンド: オプション -w でワイプパターンの指定が可能 wipe –w 00 \\E: 3 複製先ハードディスクをフォーマットする コマンド: (/Q オプション指定でクイックフォーマット) format E: /FS:NTFS /V:evidence /X /Q 大容量ハードディスクのwipe作業には非常に長い時間が必要となる。例えば USB 2.0 で接続した250GBのハードディスクをwipeした場合、最初に行われるデータ「FF」の書き込みに約9.5時間、全体では約20時間程度が必要となる。 フォーマット処理も大容量ディスクでは時間が必要となるため、急遽作業を行う場合にはクイックフォーマットを行うことになると考えられる。 署名 終了時刻

い CD-ROMのセット 番号 作業項目 開始時刻 備考 確 認 1 CD-ROMドライブを確認しトレイを開ける : : □ 2  : :  □ 2 すでにCDが入っていた場合に記録 ラベル: 3 CD-ROMドライブへCDを挿入する 署名 終了時刻

う 複製先のセット 番号 作業項目 開始時刻 備考 確 認 1 USBポートの状態を確認 : : □ 2 空きポートが無い場合に記録 3  : :  □ 2 空きポートが無い場合に記録 3 USBポートへケーブルを挿入する 署名 終了時刻

え システムへログオン 番号 作業項目 開始時刻 備考 確 認 1 すでにログオンしている場合は撮影(記録) : : □ 状況: 2  : :  □ 状況: 2 システムへログオンする ユーザー名: ログオンしてあるシステムの場合、不用意にログアウト処理などを行うと、ユーザーによりマウントされているネットワークドライブや仮想ディスク ドライブが失われる危険性がある。 状況確認を行う場合には、ドライブマップを確認する必要がある。 ログオンユーザーのドライブマップを確認する方法としては、diskpart や fsutil コマンドを使う方法もあるが、winmsd コマンドを利用して情報を取得するほうが簡単と思われる。 winmsd /report 出力ファイル名 結果ファイルの[ドライブ]の項目を確認することで、ドライブ文字の割り当て状況を確認することができる。 ただし、subst コマンドの利用状況などを確認する為、winmsd だけでなく以下のコマンドを実行し結果を記録(保存)しておく。 subst コマンドの実行 net use コマンドの実行 fsutil fsinfo drives(XP以降の場合) これらのコマンド結果などから判断し、仮想ディスクとしてマウントされているドライブの存在が確認できた場合には、続く作業でそのドライブについてもディスクイメージの複製を作成しておく。 XP以降であれば、fsutil コマンドを利用してドライブの割り当て状況を確認することもできる。 fsutil fsinfo drives コマンドを利用することで、現在割り当てられているドライブ文字を確認することができるが、それぞれのドライブ情報については fsutil fsinfo drivetype で個別に確認する必要がある。 fsutil コマンドを利用した場合、diskpart と違いボリュームのサイズが表示されない、その為どれだけの容量を持つボリュームなのかは別途確認する必要がある。 署名 終了時刻

お シェルの起動 番号 作業項目 開始時刻 備考 確 認 1 複製操作に使用するシェルをCD-ROM から起動する : :  : :  ファイル名を指定して実行 □ 2 プロンプトの表示項目を変更する(時刻とパスの表示) コマンド: prompt $D$T$S$P$G 3 スクロールバッファのサイズを増やす 現在のウィンドウへ適用 コマンド: プロパティ ⇒ レイアウト ⇒ 画面バッファのサイズ ⇒ 高さ ⇒ 9999 すでにログオンされている状態であれば、RunAs コマンドを利用してシェルを起動する。 署名 終了時刻

か システム情報の取得 番号 作業項目 開始時刻 備考 確 認 1 システム情報の取得 : : □  : :  □ コマンド: winmsd /repor E:\WINMSD出力ファイル名.txt md5sum –b E:\WINMSD出力ファイル名.txt > 出力ファイル名.md5 ハッシュ値: 2 ボリューム情報の取得 コマンド: mountvol > E:\vol出力ファイル名.txt md5sum –b E:\vol出力ファイル名.txt > 出力ファイル名.md5 ハッシュ値: ドライブの割り当て状況を確認する為、winmsdとmountvolコマンドを実行する。 Winmsd のレポートファイルが作成され、結果ファイルが作成されるには数分の時間が必要。 Winmsd /report により出力されるテキストファイルは文字コードがUnicode(UTF-16LE)となっている。 ※システム時刻と、標準時のズレを確認すること※ 署名 終了時刻

き 複製元ディスクの確認 番号 作業項目 開始時刻 備考 確 認 1 ディスク一覧の確認 : : □  : :  □ コマンド:winmsd結果ファイルの項目[ディスク]の内容を確認 Disk ### モデル サイズ 領域数 □ Disk 0: □ Disk 1: □ Disk 2: □ Disk 3: □ Disk 4: □ Disk 5: □ Disk 6: □ Disk 7: Winmsdの出力結果ファイルの項目[ディスク]を確認することで、システムに接続されているハードディスク(USBドライブを含む)のサイズなどを確認することができる。 特にパーティション数についてはよく確認する必要がある。 例) [ディスク] 項目 値 説明 ディスク ドライブ 製造元 (標準ディスク ドライブ) モデル HITACHI_DK23EB-40 バイト/セクタ 512 読み込まれたメディア はい メディア種類 固定ハード ディスク パーティション 2 SCSI バス 0 SCSI 論理ユニット 0 SCSI ポート 0 SCSI ターゲット ID 0 セクター/トラック 63 サイズ 37.26 GB (40,007,761,920 バイト) シリンダ合計 4,864 セクタ合計 78,140,160 トラック合計 1,240,320 トラック/シリンダ 255 パーティション ディスク #0, パーティション #0 パーティション サイズ 31.35 MB (32,868,864 バイト) パーティション開始オフセット 32,256 バイト パーティション ディスク #0, パーティション #1 パーティション サイズ 37.22 GB (39,966,635,520 バイト) パーティション開始オフセット 32,901,120 バイト 署名 終了時刻

く 複製元ドライブの確認 番号 作業項目 開始時刻 備考 確 認 1 ドライブ一覧の確認 : : □  : :  □ コマンド: winmsd結果ファイルの項目[ドライブ]の内容を確認 ドライブ:ファイルシステム:サイズ:ボリュームシリアル:ボリューム名 □ : □ : □ : □ : □ : □ : □ : □ : winmsd の[ドライブ]項目では、ドライブ文字が割り当てられているボリュームが表示されている。 ドライブ文字が割り当てられていないボリュームについては表示されない。 複製対象のボリュームが、ドライブ文字を持たない場合にはボリュームIDを指定して複製する。(後述) 署名 終了時刻

け ドライブの複製 番号 作業項目 開始時刻 備考 確 認 1 ドライブ毎に複製を行う : : □  : :  □ コマンド:CD-ROM上のddコマンドを利用する(全て1行に記述) dd if=\\.\複製元ドライブ: of=E:\複製先出力ファイル名 bs=512 conv=noerror --md5sum --md5out=E:\複製先出力ファイル名.md5 --log=E:\複製先出力ファイル名.log □ドライブ: ファイル名: □ドライブ: ファイル名: □ドライブ: ファイル名: if= で指定したドライブに、別のNTFSボリュームがマウントされている場合、dd からエラーが出力される。この場合、指定したドライブ(ボリューム)のイメージのみが取得される。(フォルダにマウントされているNTFSボリュームはイメージに含まれない) ドライブにマウントされたNTFSボリュームが存在するかは、mountvol コマンドで確認することができる。NTFS ボリュームをフォルダにマウントしている場合には、それぞれのボリューム単位で複製を作成したほうが良い。 署名 終了時刻

こ ボリュームの複製 番号 作業項目 開始時刻 備考 確 認 1 ボリューム単位で複製を行う : : 必要な場合 □  : :  必要な場合 □ コマンド:CD-ROM上のddコマンドを利用する(全て1行に記述) dd if=\\?\Volume{複製元ボリュームID} of=E:\複製先出力ファイル名 bs=512 conv=noerror --md5sum --md5out=E:\複製先出力ファイル名.md5 --log=E:\複製先出力ファイル名.log □Volume ID: ファイル名: ドライブ文字が割り当てられていないボリュームなどを複製する場合には、ボリューム単位で複製を行う。 ボリュームを指定して複製を取る場合には、以下のように if のパラメータにボリュームIDを指定する。 dd if=\\?\Volume{87c34910-d826-11d4-987c-00a0b6741049} 指定可能なボリュームIDは mountvol コマンドの結果で確認することができる。 ボリュームのサイズを知るには、diskpar コマンドから> list volume とすることで確認できる。 NTFSの“未割り当てボリューム”のサイズを確認したい場合には volsize を利用する。 http://www.alles.or.jp/~hasepyon/volsize/ 署名 終了時刻

さ 複製の確認 番号 作業項目 開始時刻 備考 確 認 1 複製されたファイルの確認 : : □  : :  □ コマンド:複製物のMD5ハッシュ値の確認 複製先出力ファイル名.md5 ファイル名 Size MD5 □      :    : □ □ □ □ □ □ □ 署名 終了時刻

し ログの確認 番号 作業項目 開始時刻 備考 確 認 1 ログファイルの確認 : : □  : :  □ コマンド:ログファイルのMD5ハッシュ値の確認 md5sum –b 複製先出力ファイル名.log ファイル名 Size MD5 □      :    : □ □ □ □ □ □ □ 署名 終了時刻

す 複製内容の確認 番号 作業項目 開始時刻 備考 確 認 1 複製したデータ内容の確認 : : □  : :  □ 複製したドライブ(ボリューム)イメージの内容を確認し、意図したドライブ(ボリューム)が正しく複製されているかを目視で確認する。 確認作業は、“安全が確認されているPC”上で行い、取得したイメージを変更しないよう「書き込み禁止」状態で行う。 確認方法: 複製したドライブ(ボリューム)イメージの内容を確認し、意図したドライブ(ボリューム)が正しく複製されているかを目視で確認する。 確認作業は、“安全が確認されているPC”上で行い、取得したイメージを変更しないよう「書き込み禁止」状態で行う。 Windows XP SP2 以降ではレジストリキー、HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\StorageDevicePolicies の WriteProtect 値を「1」に設定することで USB デバイスへの書き込みを禁止することができる。 参照:http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/sp2otech.mspx 単純なディスク単位またはボリューム・論理ドライブ単位であれば、Virtual Disk Driver(http://chitchat.at.infoseek.co.jp/vmware/vdkj.html)を利用すればWindowsシステムで簡単にイメージの内容を確認することができる。 Virtual Disk Driver ではオプションを何も指定しない場合、イメージは読み取り専用でマウントされる。明示的に指定する場合には/WBオプションを設定。 RAID構成の物理ディスクを個別に複製を行った場合には、RAIDの再構成に対応しているツール(例:EnCase)を利用することで内容の確認を行うことができる。(論理ドライブ単位で複製したほうが確認は取りやすい) 署名 終了時刻

せ CD/DVD-Rへ複製 番号 作業項目 開始時刻 備考 確 認 1 CD-ROM / DVD-Rへ複製 : : □ コマンド:  : :  □ コマンド: ファイル名 枚数 ラベル □      :    : □ □ □ □ □ □ □ 複製したドライブ(ボリューム)イメージを、書き換えが不可能なメディアへ複製する。 ハードディスクへ記録した状態では改ざん等の危険性がある為、書き換えが不可能なメディアへ複製し厳重に管理する。 署名 終了時刻