Tweet
Tweet

Slide 1

Slide 1 text

SDカードフォレンジック

Slide 2

Slide 2 text

自己紹介 セキュリティ企業でセキュリティに関する事をしてます 安全確保支援士 Twitter:スー

Slide 3

Slide 3 text

今回のフォレンジックにあたり ・発表者はフォレンジック初心者 ・目標設定としては、データが取得できるところまで ・それ以上に関しては時間があれば

Slide 4

Slide 4 text

発表 やったことを時系列順に通していくスタイルで発表します

Slide 5

Slide 5 text

どこまでやるか データ取得を目的としているが、フォレンジックとしてはどこまでやるか ・カードリーダーで接続してできる範囲 ・物理的に削って直接データアクセスを試みる範囲

Slide 6

Slide 6 text

どこまでやるか データ取得を目的としているが、フォレンジックとしてはどこまでやるか ・カードリーダーで接続してできる範囲←今回はここまで ・物理的に削って直接データアクセスを試みる範囲

Slide 7

Slide 7 text

どこまでやるか データ取得を目的としているが、フォレンジックとしてはどこまでやるか ・カードリーダーで接続してできる範囲←今回はここまで ・物理的に削って直接データアクセスを試みる範囲 理由として、中身のデータよりSDカードの方が優先度が高いため 機会があれば削ってデータアクセスしてみたい

Slide 8

Slide 8 text

今回フォレンジックするSDカード

Slide 9

Slide 9 text

今回フォレンジックするSDカード ミラーレスカメラで利用していたSDカード 突然エラーが発生してアクセスができなくなった

Slide 10

Slide 10 text

今回フォレンジックするSDカード Windowsに接続しても不可

Slide 11

Slide 11 text

フォレンジック フォレンジックをしていくにあたりはじめにやることとは

Slide 12

Slide 12 text

フォレンジック フォレンジックをしていくにあたりはじめにやることとは 原本の保全ですね なので原本のコピーを作成するために仮想環境を用意します

Slide 13

Slide 13 text

原本のコピー 1.Ubuntuを用意

Slide 14

Slide 14 text

原本のコピー 1.Ubuntuを用意 2.gddrescueをインストール  ddでデータ移せばいいやと考えていたが、参考に調べるとddでは上手くいかない場合 があるようだったため

Slide 15

Slide 15 text

原本のコピー 1.Ubuntuを用意 2.gddrescueをインストール  3.実際に原本をコピーを試みる ホストOSに接続から仮想環境にうまく認識させることができない

Slide 16

Slide 16 text

原本のコピー 1.Ubuntuを用意 2.gddrescueをインストール  3.実際に原本をコピーを試みる ↓ 仮想環境でのフォレンジックは一旦諦める

Slide 17

Slide 17 text

原本のコピー 1.Windowsで原本のコピーもしくは直接解析出来る方法を探す 中身に重要な情報はないので、直接解析出来る方法も合わせて探すことにする

Slide 18

Slide 18 text

原本のコピー 1.Windowsで原本のコピーもしくは直接解析出来る方法を探す 2.Recuvaを試す 誤って削除してしまったファイルを復元できるソフト 出典 https://forest.watch.impress.co.jp/library/software/recuva/

Slide 19

Slide 19 text

なんか色々便利そう

Slide 20

Slide 20 text

原本のコピー 1.Windowsで原本のコピーもしくは直接解析出来る方法を探す 2.Recuvaを試す 試すが、そもそもWindowsがSDカードをフォーマットしないと、使用不可と言ってくるため 動作しない

Slide 21

Slide 21 text

原本のコピー 1.Windowsで原本のコピーもしくは直接解析出来る方法を探す 2.Recuvaを試す 3.FTK Imagerを試す

Slide 22

Slide 22 text

FTK Imager バイナリを表示する事ができた ざっと見た感じ壊れてる 下の方に行くとデータらしきものがある

Slide 23

Slide 23 text

原本のコピー 1.Windowsで原本のコピーもしくは直接解析出来る方法を探す 2.Recuvaを試す 3.FTK Imagerを試す 4.FTK ImagerでSDカードの保全をする 機能としてあり、Export Disk Imageで作成する

Slide 24

Slide 24 text

原本のコピー 1.Windowsで原本のコピーもしくは直接解析出来る方法を探す 2.Recuvaを試す 3.FTK Imagerを試す 4.FTK ImagerでSDカードの保全をする 機能としてあり、Export Disk Imageで作成する 続いて、この作成したイメージをどうやって読み込むか

Slide 25

Slide 25 text

Autopsy

Slide 26

Slide 26 text

Autopsy 作成したイメージを読みこめた 中の画像データを普通に出してくれる 右の図のように色々分類分けもある

Slide 27

Slide 27 text

Autopsy

Slide 28

Slide 28 text

Autopsy 実際に復元できた写真

Slide 29

Slide 29 text

Autopsy 実際に復元できた写真 16進数版

Slide 30

Slide 30 text

Autopsy 実際に復元できた写真 復元で出てきた写真は実は、フォーマットで更新をしていたものが多かった カメラの利用しているフォーマットの種類のためそこについては仕方ない

Slide 31

Slide 31 text

原本のコピー 1.Windowsで原本のコピーもしくは直接解析出来る方法を探す 2.Recuvaを試す 3.FTK Imagerを試す 4.FTK ImagerでSDカードの保全をする 5.Autopsyで先ほど作成したイメージを読み込む 6.画像を抽出する事に成功

Slide 32

Slide 32 text

試さなかったこと Linuxの実機での解析 →メンテナンス中ですぐに稼働出来るものが無かった バイナリデータから無理矢理ファイル抽出 →コードを書いてバイナリ抽出して、ファイルと思われる物を抽出する案もあった →既存のツールだけで出来たから目的は達成済み、その為あまりやる理由無し

Slide 33

Slide 33 text

まとめ ・今回の事例ならまだ意外と苦労せずに復元はできた ・確実にフォレンジック対策をしたい場合は、記憶媒体を物理的に破壊するべき ・機密性の高い情報を保存していなかった場合は、記憶媒体の全てのビットにたいして 複数回の上書きをかけた方が安心 ・記憶媒体はいつ死ぬか判別が難しいのでバックアップは大事 参考 https://www.ipa.go.jp/security/crypto/gmcbt80000005u4j-att/SP800-88rev1.pdf