前回記事で、保全対象のHDDをE01イメージにデュプリケートしました。
今回は、このデータの参照方法です。
特に、有償のフォレンジックツール以外で参照する方法をいくつか試してみます。
Windows環境では、デュプリケートに利用したFTK Imager Liteで参照できます。
また、フリーのマウントツールも利用可能です。ただし、これには注意事項があります。
Linux環境では、ewfmountでRead OnlyのDDイメージのように扱えます。
今回使うツール
FTK Imager Lite
https://accessdata.com/product-download/ftk-imager-lite-version-3-1-1
*Downloadにユーザ情報を登録する必要あり。
なお、FTK Imagerでも基本的に同じことができます。
https://cyberforensic.focus-s.com/product/87/
OSFMount (Windowsで使えるマウントツール)
https://www.osforensics.com/tools/mount-disk-images.html
SANS SIFT Workstation (SANSがフリーで公開しているフォレンジック用Linux)
https://digital-forensics.sans.org/community/downloads
*Downloadにユーザ情報を登録する必要あり。
ツールによるマウント
FTK Imager または FTK Imager Lite
前回デュプリケートで用いたFTK ImagerまたはFTK Imager Liteで、E01形式のエビデンスをマウントすることができます。
操作も簡単ですが、一応手順をメモしておきます。
FTK ImagerまたはFTK Imager Liteを起動したら、「File」→「Add Evidence Item ...」またはメニューアイコンの一番左上(デフォルトの場合)をクリックします。
「Select Source」ダイアログが開きます。
E01イメージを開く場合は、「Image File」を選択します。
「次へ」をクリックします。
「Select File」ダイアログが開きます。
「Browse...」ボタンでエビデンスを格納したディスクを参照し、「.E01」拡張子のファイルを選択します。
「Finish」をクリックします。
「Evidence Tree」に追加されたエビデンスがルートとして、それ以下のデータが表示されます。
「+」をクリックすると、サブフォルダ等が表示されます。
図の例では、E01のイメージの下に、3つのパーティションがあり、それぞれが表示されています。
また、パーティション2の下の構造表示しています。
なお、DDイメージなども、Phisical Driveを選択するなどすれば同様に参照することができます。
この先の操作は、それほど難しいものではないので、直接触ったほうが良いでしょう。
デフォルト設定では、右下のデータ表示部はファイルの形式によって自動的にHexビューや画像等のビューに切り替わります。
メニューアイコンの眼鏡アイコンにより、明示的にTextやHexを指定して表示することができます。
・・・これで物足りないなら、ちゃんとFTKの製品版を買いましょう!(プロとして仕事するなら持ってて損はないはずなんだが)
個人では(色んな意味で)買えないので、私は持ってないんですけどねwww
あと、手書きで取り込んだアバターの下書きを下手くそとかイワナイ。俺・・・スゲェフォレンジッカーになったら・・・神絵師にアバターの絵を、描いてもらうんだ・・・。(自分からフラグを立てていくスタイル。)
OSFMount
Windowsで使えるマウントツールで、いろんな対象をマウントできるツールです。
対応範囲のうち、E01が含まれているため、マウントすることができます。
E01のマウントでは、「リードオンリーの通常のドライブとして」マウントされます(意味深)。
OSFMountを起動すると、現在ツールによってマウントされているディスクが表示されます。
E01を新たにマウントする場合は、下部の「Mount new ...」をクリックします。
Mount drive (Step 1 of 4)のダイアログが表示されます。
「Disk image file」を選択し、「...」ボタンでエビデンスを格納したディスクを参照し、「.E01」拡張子のファイルを選択します。
「Next」をクリックします。
Mount drive (Step 2 of 4)のダイアログが表示されます。
「Mount patitions as virtual disks」か「Mount entire image as virtual disk」を選択します。
「Mount patitions as virtual disks」は、マウントしたいディスクを選択してマウントできます(Select Allですべてを選択することも可能)。
「Mount entire image as virtual disk」はイメージ全体を選択することになります。
どちらを選択してもいいですが、いずれにしても次の画面で注意事項があります。
「Next」をクリックします。
Mount drive (Step 4 of 4)のダイアログが表示されます。
なんかStep 3 of 4 が出てこないんですが、そこはツッコまずに華麗にスルーしましょう。
特に「Mount patitions as virtual disks」を選んだ場合、デフォルトは下図のようになっているんじゃないかと思います。
Read-only driveはチェックが入った状態で、変更できなくなっています。
まあ、E01の検体は変更したくないので、Read-Onlyでマウントしてみます。
「Mount」をクリックします。
マウントした結果が表示されます。
なお、Cドライブをデュプリケートしてすべてのイメージをマウントした場合、特定のディスクに対し、フォーマットするか聞いてくると思います。
これは、このソフトがドライブをWindowsのシステムの機能としてマウントするため、フォーマットが対応していないとフォーマットをしようとするためです。
このあたりは、ディスクのイメージをイメージデータとして参照するFTK Imagerと大きく違う点です。
そして、「Windowsのシステムの機能としてドライブをマウントする」がゆえの問題が発生します。
上の図の構成では、検体のCドライブにあたるドライブはKドライブです。
アクセスすると、WindowsフォルダやUsersフォルダがあります。
そして、Usersフォルダ内のユーザフォルダにアクセスすると・・・。
・・・このように、「フォルダのアクセス権がない」ためにエラーになります。
例えAdministrator権限でも、ユーザのフォルダにアクセスする際にはアクセス権を取得する必要があります。
そのため、続行を押すのですが・・・
このようにエラーになります。
セキュリティタブを使用して変更を試みても、失敗してしまいます。
なぜならRead-Onlyだから。
そう。Windowsは、アクセス権の設定もそれぞれのディスクに書き込んでいます。
Read-Onlyでは、アクセス権の変更を書き込めないため、アクセス権も変更できません。
こうなると、Users下の各フォルダは参照できない、ということになってしまいます。
これを回避するために、Step 4 to 4 でRead-Onlyを解除して、設定変更を書き込みできるようにします。
こう書くとエビデンスが変更されるように見えますが、E01のマウントの場合は変更差分を別ファイルに記録するよう設定するため、原本が変更されることはありません。
でも、さっきRead-Onlyは変更できないよう、Disableになってなかったっけ?w (条件によってはEnableになっていますけどね。)
ということで、操作方法です。
Mount drive (Step 4 of 4)の「Drive Emuration」が「Logical Drive Emuration」になっている場合、「Physical Disk Emuration」に変更します。
すると、Read-only driveのチェックボックスが変更可能になります。
そこで、このチェックボックスのチェックを外します。
すると、さらに右側のWrite modeが操作可能になります。
Write modeをWrite cacheにします。
なお、試したバージョンでは、E01の場合Write cacheしかでないようでした。
「Mount」をクリックします。
すると、今度はUsersフォルダ内のユーザフォルダにアクセスできるようになりました。
Windowsのドライブとしてマウントしてしまうと、OSは律儀にそのドライブ内のユーザの権限も守るように動作してしまうため、こういった対策が必要になります。
まあ、最初からこちらの手順で書いておけ、といわれればそれまでなんですがね!
本人がハマったので、問題も含めてのメモでした。
少し長くなったので、Linux環境でのマウントは続きの記事で書きます。(また無駄に続く)