ライブ・システムの複製 Rev 0.3 dd.exe、md5sum.exeは以下のURLにあるツールを利用 Forensic Acquisition Utilities http://users.erols.com/gmgarner/forensics/
図 ③ ① ⑤ ⑥ ⑦ ④ ② 安全なプログラムCDをセット 外付け 大容量HDD (複製先) 利用前に内容の消去を行う ddコマンドを使い ドライブを複製 ③ ① ⑤ ログ等は印刷 ⑥ ⑦ ④ ② 複製元ディスク、 ドライブ サイズ などを確認 複製したデータは 書き換え不可能 メディアへも保存 操作記録 を紙へ 記入する
あ 複製先の準備 番号 作業項目 開始時刻 備考 確 認 1 複製先ハードディスクを用意・確認する : : 型番: □ 2 : : 型番: □ 2 複製先ハードディスクを消毒する(省略時は3へ) コマンド: オプション -w でワイプパターンの指定が可能 wipe –w 00 \\E: 3 複製先ハードディスクをフォーマットする コマンド: (/Q オプション指定でクイックフォーマット) format E: /FS:NTFS /V:evidence /X /Q 大容量ハードディスクのwipe作業には非常に長い時間が必要となる。例えば USB 2.0 で接続した250GBのハードディスクをwipeした場合、最初に行われるデータ「FF」の書き込みに約9.5時間、全体では約20時間程度が必要となる。 フォーマット処理も大容量ディスクでは時間が必要となるため、急遽作業を行う場合にはクイックフォーマットを行うことになると考えられる。 署名 終了時刻
い CD-ROMのセット 番号 作業項目 開始時刻 備考 確 認 1 CD-ROMドライブを確認しトレイを開ける : : □ 2 : : □ 2 すでにCDが入っていた場合に記録 ラベル: 3 CD-ROMドライブへCDを挿入する 署名 終了時刻
う 複製先のセット 番号 作業項目 開始時刻 備考 確 認 1 USBポートの状態を確認 : : □ 2 空きポートが無い場合に記録 3 : : □ 2 空きポートが無い場合に記録 3 USBポートへケーブルを挿入する 署名 終了時刻
え システムへログオン 番号 作業項目 開始時刻 備考 確 認 1 すでにログオンしている場合は撮影(記録) : : □ 状況: 2 : : □ 状況: 2 システムへログオンする ユーザー名: ログオンしてあるシステムの場合、不用意にログアウト処理などを行うと、ユーザーによりマウントされているネットワークドライブや仮想ディスク ドライブが失われる危険性がある。 状況確認を行う場合には、ドライブマップを確認する必要がある。 ログオンユーザーのドライブマップを確認する方法としては、diskpart や fsutil コマンドを使う方法もあるが、winmsd コマンドを利用して情報を取得するほうが簡単と思われる。 winmsd /report 出力ファイル名 結果ファイルの[ドライブ]の項目を確認することで、ドライブ文字の割り当て状況を確認することができる。 ただし、subst コマンドの利用状況などを確認する為、winmsd だけでなく以下のコマンドを実行し結果を記録(保存)しておく。 subst コマンドの実行 net use コマンドの実行 fsutil fsinfo drives(XP以降の場合) これらのコマンド結果などから判断し、仮想ディスクとしてマウントされているドライブの存在が確認できた場合には、続く作業でそのドライブについてもディスクイメージの複製を作成しておく。 XP以降であれば、fsutil コマンドを利用してドライブの割り当て状況を確認することもできる。 fsutil fsinfo drives コマンドを利用することで、現在割り当てられているドライブ文字を確認することができるが、それぞれのドライブ情報については fsutil fsinfo drivetype で個別に確認する必要がある。 fsutil コマンドを利用した場合、diskpart と違いボリュームのサイズが表示されない、その為どれだけの容量を持つボリュームなのかは別途確認する必要がある。 署名 終了時刻
お シェルの起動 番号 作業項目 開始時刻 備考 確 認 1 複製操作に使用するシェルをCD-ROM から起動する : : : : ファイル名を指定して実行 □ 2 プロンプトの表示項目を変更する(時刻とパスの表示) コマンド: prompt $D$T$S$P$G 3 スクロールバッファのサイズを増やす 現在のウィンドウへ適用 コマンド: プロパティ ⇒ レイアウト ⇒ 画面バッファのサイズ ⇒ 高さ ⇒ 9999 すでにログオンされている状態であれば、RunAs コマンドを利用してシェルを起動する。 署名 終了時刻
か システム情報の取得 番号 作業項目 開始時刻 備考 確 認 1 システム情報の取得 : : □ : : □ コマンド: winmsd /repor E:\WINMSD出力ファイル名.txt md5sum –b E:\WINMSD出力ファイル名.txt > 出力ファイル名.md5 ハッシュ値: 2 ボリューム情報の取得 コマンド: mountvol > E:\vol出力ファイル名.txt md5sum –b E:\vol出力ファイル名.txt > 出力ファイル名.md5 ハッシュ値: ドライブの割り当て状況を確認する為、winmsdとmountvolコマンドを実行する。 Winmsd のレポートファイルが作成され、結果ファイルが作成されるには数分の時間が必要。 Winmsd /report により出力されるテキストファイルは文字コードがUnicode(UTF-16LE)となっている。 ※システム時刻と、標準時のズレを確認すること※ 署名 終了時刻
き 複製元ディスクの確認 番号 作業項目 開始時刻 備考 確 認 1 ディスク一覧の確認 : : □ : : □ コマンド:winmsd結果ファイルの項目[ディスク]の内容を確認 Disk ### モデル サイズ 領域数 □ Disk 0: □ Disk 1: □ Disk 2: □ Disk 3: □ Disk 4: □ Disk 5: □ Disk 6: □ Disk 7: Winmsdの出力結果ファイルの項目[ディスク]を確認することで、システムに接続されているハードディスク(USBドライブを含む)のサイズなどを確認することができる。 特にパーティション数についてはよく確認する必要がある。 例) [ディスク] 項目 値 説明 ディスク ドライブ 製造元 (標準ディスク ドライブ) モデル HITACHI_DK23EB-40 バイト/セクタ 512 読み込まれたメディア はい メディア種類 固定ハード ディスク パーティション 2 SCSI バス 0 SCSI 論理ユニット 0 SCSI ポート 0 SCSI ターゲット ID 0 セクター/トラック 63 サイズ 37.26 GB (40,007,761,920 バイト) シリンダ合計 4,864 セクタ合計 78,140,160 トラック合計 1,240,320 トラック/シリンダ 255 パーティション ディスク #0, パーティション #0 パーティション サイズ 31.35 MB (32,868,864 バイト) パーティション開始オフセット 32,256 バイト パーティション ディスク #0, パーティション #1 パーティション サイズ 37.22 GB (39,966,635,520 バイト) パーティション開始オフセット 32,901,120 バイト 署名 終了時刻
く 複製元ドライブの確認 番号 作業項目 開始時刻 備考 確 認 1 ドライブ一覧の確認 : : □ : : □ コマンド: winmsd結果ファイルの項目[ドライブ]の内容を確認 ドライブ:ファイルシステム:サイズ:ボリュームシリアル:ボリューム名 □ : □ : □ : □ : □ : □ : □ : □ : winmsd の[ドライブ]項目では、ドライブ文字が割り当てられているボリュームが表示されている。 ドライブ文字が割り当てられていないボリュームについては表示されない。 複製対象のボリュームが、ドライブ文字を持たない場合にはボリュームIDを指定して複製する。(後述) 署名 終了時刻
け ドライブの複製 番号 作業項目 開始時刻 備考 確 認 1 ドライブ毎に複製を行う : : □ : : □ コマンド:CD-ROM上のddコマンドを利用する(全て1行に記述) dd if=\\.\複製元ドライブ: of=E:\複製先出力ファイル名 bs=512 conv=noerror --md5sum --md5out=E:\複製先出力ファイル名.md5 --log=E:\複製先出力ファイル名.log □ドライブ: ファイル名: □ドライブ: ファイル名: □ドライブ: ファイル名: if= で指定したドライブに、別のNTFSボリュームがマウントされている場合、dd からエラーが出力される。この場合、指定したドライブ(ボリューム)のイメージのみが取得される。(フォルダにマウントされているNTFSボリュームはイメージに含まれない) ドライブにマウントされたNTFSボリュームが存在するかは、mountvol コマンドで確認することができる。NTFS ボリュームをフォルダにマウントしている場合には、それぞれのボリューム単位で複製を作成したほうが良い。 署名 終了時刻
こ ボリュームの複製 番号 作業項目 開始時刻 備考 確 認 1 ボリューム単位で複製を行う : : 必要な場合 □ : : 必要な場合 □ コマンド:CD-ROM上のddコマンドを利用する(全て1行に記述) dd if=\\?\Volume{複製元ボリュームID} of=E:\複製先出力ファイル名 bs=512 conv=noerror --md5sum --md5out=E:\複製先出力ファイル名.md5 --log=E:\複製先出力ファイル名.log □Volume ID: ファイル名: ドライブ文字が割り当てられていないボリュームなどを複製する場合には、ボリューム単位で複製を行う。 ボリュームを指定して複製を取る場合には、以下のように if のパラメータにボリュームIDを指定する。 dd if=\\?\Volume{87c34910-d826-11d4-987c-00a0b6741049} 指定可能なボリュームIDは mountvol コマンドの結果で確認することができる。 ボリュームのサイズを知るには、diskpar コマンドから> list volume とすることで確認できる。 NTFSの“未割り当てボリューム”のサイズを確認したい場合には volsize を利用する。 http://www.alles.or.jp/~hasepyon/volsize/ 署名 終了時刻
さ 複製の確認 番号 作業項目 開始時刻 備考 確 認 1 複製されたファイルの確認 : : □ : : □ コマンド:複製物のMD5ハッシュ値の確認 複製先出力ファイル名.md5 ファイル名 Size MD5 □ : : □ □ □ □ □ □ □ 署名 終了時刻
し ログの確認 番号 作業項目 開始時刻 備考 確 認 1 ログファイルの確認 : : □ : : □ コマンド:ログファイルのMD5ハッシュ値の確認 md5sum –b 複製先出力ファイル名.log ファイル名 Size MD5 □ : : □ □ □ □ □ □ □ 署名 終了時刻
す 複製内容の確認 番号 作業項目 開始時刻 備考 確 認 1 複製したデータ内容の確認 : : □ : : □ 複製したドライブ(ボリューム)イメージの内容を確認し、意図したドライブ(ボリューム)が正しく複製されているかを目視で確認する。 確認作業は、“安全が確認されているPC”上で行い、取得したイメージを変更しないよう「書き込み禁止」状態で行う。 確認方法: 複製したドライブ(ボリューム)イメージの内容を確認し、意図したドライブ(ボリューム)が正しく複製されているかを目視で確認する。 確認作業は、“安全が確認されているPC”上で行い、取得したイメージを変更しないよう「書き込み禁止」状態で行う。 Windows XP SP2 以降ではレジストリキー、HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\StorageDevicePolicies の WriteProtect 値を「1」に設定することで USB デバイスへの書き込みを禁止することができる。 参照:http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/sp2otech.mspx 単純なディスク単位またはボリューム・論理ドライブ単位であれば、Virtual Disk Driver(http://chitchat.at.infoseek.co.jp/vmware/vdkj.html)を利用すればWindowsシステムで簡単にイメージの内容を確認することができる。 Virtual Disk Driver ではオプションを何も指定しない場合、イメージは読み取り専用でマウントされる。明示的に指定する場合には/WBオプションを設定。 RAID構成の物理ディスクを個別に複製を行った場合には、RAIDの再構成に対応しているツール(例:EnCase)を利用することで内容の確認を行うことができる。(論理ドライブ単位で複製したほうが確認は取りやすい) 署名 終了時刻
せ CD/DVD-Rへ複製 番号 作業項目 開始時刻 備考 確 認 1 CD-ROM / DVD-Rへ複製 : : □ コマンド: : : □ コマンド: ファイル名 枚数 ラベル □ : : □ □ □ □ □ □ □ 複製したドライブ(ボリューム)イメージを、書き換えが不可能なメディアへ複製する。 ハードディスクへ記録した状態では改ざん等の危険性がある為、書き換えが不可能なメディアへ複製し厳重に管理する。 署名 終了時刻