Download presentation
Presentation is loading. Please wait.
1
削除されたファイルの復元 2004/05/26 伊原 秀明(Port139)
2
削除ファイル ディスク上には削除されたファイル(データ)がそのまま残っている可能性がある
ファイル(データ)が削除されると、使用していた領域は空いた(未使用)領域となり、再利用される この為、削除されたデータは消えやすく、常に復元できるとは限らない(揮発性情報) ディスクへの書き込みを発生させないこと © Hideaki Ihara(Port139).
3
Forensicにおける削除データ Computer Forensicsでは、複製したファイルシステム イメージから、データを復元することになる 削除ファイルを復元することで、証拠となる データを発見できる可能性がある (ツールの圧縮ファイル,Readmeなど) 未割当て領域からもデータを収集し、証拠となりそうな情報を探し出す © Hideaki Ihara(Port139).
4
削除ファイル/断片データ 割り当て済み領域 ファイル(データ) 削除されたファイル 復元可能 削除されたファイル 断片 未割り当て領域
未使用 残されたファイル (管理情報なし) © Hideaki Ihara(Port139).
5
削除済みデータ復元ツール 専用ツール FINALDATA http://www.finaldata.ne.jp/
R-Studio 削除されたファイルを一時退避 Undelete 3.0 © Hideaki Ihara(Port139).
6
削除ファイル復元(R-Studio) HDD R-Studio dd Image File ファイル/フォルダ 削除されたファイル/フォルダ
NTFS代替データストリーム 読み込み Image File 削除された領域 R-Studioはddで複製したファイルシステム イメージから復元が可能 © Hideaki Ihara(Port139).
7
部分削除 セクタ 使用部分 Slack 部分削除 削除 Slack データを一部削除 使用部分 Slack スラック部分の調査
部分的にデータが削除された場合、復元・調査が困難 © Hideaki Ihara(Port139).
8
断片データの調査 セクタ 使用部分 Slack スラック部分の調査 ファイル削除 復元可能部分 Slack 削除ファイルの復元 一部使用
上書き 断片部分 Slack 断片情報の調査 復元できなくとも、断片部分にデータが残っている可能性がある © Hideaki Ihara(Port139).
9
未割り当て領域の収集・調査 データ Slack データ 未使用 断片 データ 収集 Slack 未使用 断片 読み取り可能 文字列の調査
未割り当て領域の集合ファイル 読み取り可能 文字列の調査 ※実行するコマンドによってはSlackスペースを含まない場合もある © Hideaki Ihara(Port139).
10
削除ファイル復元の妨げ データの書込み デフラグメント 完全削除ツール © Hideaki Ihara(Port139).
11
完全削除ツール 機密情報の保護などの目的に利用 (例:廃棄パソコンのHDDからの情報漏洩を防ぐ) 削除ファイルのエントリ, データを完全削除
未使用領域のデータを完全削除(cipher等) ファイル等を復元できないように削除するソフトウェア Phrack 59「Defeating Forensic Analysis on Unix」 日本語訳 © Hideaki Ihara(Port139).
Similar presentations
© 2024 slidesplayer.net Inc.
All rights reserved.