取得したメモリダンプのチェック
メモリダンプの解析は、それだけで書籍が1冊書けるほどの内容量があります。
ここでは簡易的なチェック方法を紹介します。
画像ファイルなどの抽出
「Forensics MemDump Extractor」というプログラムを利用するのが簡単です。
プログラムを起動後に、該当のメモリダンプと抽出したい画像ファイルの種類を選択するだけのシンプルなものです。
文字列の検索
メモリダンプ上に記録されているプロセスや文字列の検索は比較的簡単なものです。
暗号化されたデータについても、メモリ上では復号されていることを逆手に取って、全て文字列でチェックすることができます。
お手軽ツールとして「BinText」などが便利でしょう。
一例としては「.exe」でフィルタをするだけで、様々イメージができるのではないでしょうか。
これらの簡易チェックでは、メモリダンプの詳細情報の収集は難しいので、ちょっとした確認程度として活用しましょう。
ハードディスクなどの物理イメージの取得
証拠保全対応の1つとして、ハードディスクなどの物理イメージの取得があります。
物理イメージからの攻撃者に削除されたデータの復元率も比較的良いため、今や多くの企業が取り入れており、緊急時対応計画に組み入れているところもあります。
しかし、近年ではSSDやフラッシュメモリを利用するPCも多いことから、必ずしもハードディスクと同じ結果が得られるとは限りません。
具体的には、削除データ復元率に若干の違いがでることがあります。
これもFTK Imager Liteを使うことで、メモリダンプと同様に簡単に取得することができます。
- FTK Imager Liteの起動
FTK Imager Liteを管理者権限で起動し、「File」→「Create Disk Image」メニューを選択
- 証跡の種類選択
証跡の種類(Evidence Type)を選択する画面が表示される
被害PCから物理イメージを取得する際は、「Physical Drive」(物理ドライブ)を選択
- 取得するドライブを指定
「Source Drive Selection」で取得するドライブを指定
「Finish」をクリック
- イメージタイプを選択
「Add」を選択すると、「Select Image Type」が表示される
4つの選択肢があるが、「Raw(dd)」と「E01」でほぼまかなえるでしょう。
好みで選択すればよいですが、汎用性の面から「Raw(dd)」の選択が無難でしょう。
次に進むと、ケース番号や名前などの情報入力画面が出るので、情報を入力する。
- 「Raw(dd)」:原本とハッシュ比較し取得しているので、取得元の原本とほぼ同じ物理イメージを得ることができる
- 「E01」:Encase証拠ファイル形式のこと。Encaseとは有償解析ツールの名。ハッシュの他に、CRC(巡回冗長検査)によるエラーチェックが行われる。Raw(dd)よりも信頼性が高く、圧縮可能である事が特徴
- 出力先を指定
「Image Destination Folder」で出力先、「Image Finename」は出力するファイルの名前を指定
「Image Fragment Size(MB)」は物理イメージを複数ファイルに分割するかを設定する箇所です。
標準設定では1.5ギガバイト毎に分割されるため、かなりのファイル数が生成される場合もある。
出力先の外付けハードディスクなどがNTFSやexFATとなどでフォーマットされていれば、ファイル分割をしない「0」を設定しても良いでしょう。
設定を終えたら「Finish」をクリック。
- 「Start」をクリックして抽出を開始
開始から完了まで時間がかかる旨を心得ておきましょう。
関連ファイルの抽出
インシデントが軽微な場合など、メモリダンプや物理イメージの取得を行うことが面倒だということもあるでしょう。
そういったときには、FTK Imager Liteを利用して調べたいファイルをエクスポートするのがよいでしょう。
FTK Imager Liteでファイルを抽出するメリット
- 隠しファイルやシステムファイルを含めて調べることができる
- システム稼働時ではアクセスができないファイルを抽出することができる
- 削除ファイルやメディアの空き領域を含めて閲覧ができる
FTK Imagerシリーズには高度な解析機能はないため、「特定キーワードの検索」「OS特有の仕組みを追跡」などの調査を行う場合は、別のツールを利用しましょう。
ファイルの抽出方法
- FKT Imager Liteの起動
FKT Imager Liteを起動
「File」→「Add Evidence Item」メニューを選択
- 証跡の種類を選択
証跡の種類(Evidence Type)を選択
ここでは「Physical Drive」(物理ドライブ)を選択
- 調査対象のドライブを指定
「Source Drive Selection」で取得するファイルの含まれるドライブを指定し、「Finish」をクリックする
FTK Imager Liteに調査対象のドライブ内のファイルやフォルダーが確認できる。
画面左窓には、ドライブ内のフォルダー構成がツリーとして表示される。
多くのシステムは最初のパーティションはシステムが予約済みとなっており、調査に直接関係のあるものではない。
- 調査対象の確認とファイル抽出
左窓のフォルダーをドリルダウンしていくと、調査対象のフォルダーが閲覧できるので、この中から抽出したいファイルを選択する。
抽出したいファイルを右クリックすると「Export Files」が表示される
選択することでファイルを抽出
この手順での調査では、FTK Imagerが調査時点でのマスターファイルテーブルを参照して表示させるため、時間経過の影響を受けることが少ないです。
PC上で直接エクスプローラーを操作する方法よりも安全でしょう。
関連