Upgrade to Pro — share decks privately, control downloads, hide ads and more …

SDカードフォレンジック

Avatar for su3158 su3158
April 19, 2025
Technology
2
790

 SDカードフォレンジック

フォレンジック初心者が、自身の遭遇した読み込めないSDカードから、データ復旧を試みた

Avatar for su3158

su3158

April 19, 2025
Tweet

More Decks by su3158

See All by su3158
開発と脆弱性と脆弱性診断についての話
Avatar for su3158 su3158
1
1.3k

Other Decks in Technology

See All in Technology
dbt開発 with Claude Codeのためのガードレール設計
Avatar for 10xinc 10xinc
2
1.3k
Bedrock で検索エージェントを再現しようとした話
Avatar for Naoki Yoshitake ny7760
2
140
roppongirb_20250911
Avatar for Kuniaki IGARASHI igaiga
1
260
未経験者・初心者に贈る!40分でわかるAndroidアプリ開発の今と大事なポイント
Avatar for operandoOS operando
6
770
実践!カスタムインストラクション&スラッシュコマンド
Avatar for puku0x puku0x
0
560
複数サービスを支える マルチテナント型 Batch MLプラットフォーム
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
1
1k
エンジニアリングマネージャーの成長の道筋とキャリア / Developers Summit 2025 KANSAI
Avatar for KASUYA, Daisuke daiksy
3
1.2k
AIがコード書きすぎ問題にはAIで立ち向かえ
Avatar for jyoshise jyoshise
3
860
AIエージェントで90秒の広告動画を制作!台本・音声・映像・編集をつなぐAWS最新アーキテクチャの実践
Avatar for Kiminori Yokoi nasuvitz
3
390
スクラムガイドに載っていないスクラムのはじめかた - チームでスクラムをはじめるときに知っておきたい勘所を集めてみました! - / How to start Scrum that is not written in the Scrum Guide 2nd
Avatar for TAKAKING22 takaking22
2
220
職種の壁を溶かして開発サイクルを高速に回す~情報透明性と職種越境から考えるAIフレンドリーな職種間連携~
Avatar for daitasu daitasu
0
200
2025/09/16 仕様駆動開発とAI-DLCが導くAI駆動開発の新フェーズ
Avatar for オカムラ masahiro_okamura
0
140

Featured

See All Featured
Docker and Python
Avatar for Tania Allard trallard
46
3.6k
Rebuilding a faster, lazier Slack
Avatar for samanthasiow samanthasiow
83
9.2k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
36
2.5k
Stop Working from a Prison Cell
Avatar for Chris Michel hatefulcrawdad
271
21k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
Avatar for mongodb mongodb
48
9.7k
Reflections from 52 weeks, 52 projects
Avatar for Jefferson Lam jeffersonlam
352
21k
The World Runs on Bad Software
Avatar for Brandon Keepers bkeepers
PRO
70
11k
Learning to Love Humans: Emotional Interface Design
Avatar for Aarron Walter aarron
273
40k
Designing Experiences People Love
Avatar for Jonathan Moore moore
142
24k
The Pragmatic Product Professional
Avatar for Laura Van Doore lauravandoore
36
6.9k
Mobile First: as difficult as doing things right
Avatar for Swwweet swwweet
224
9.9k
Performance Is Good for Brains [We Love Speed 2024]
Avatar for Tammy Everts tammyeverts
12
1.1k

Transcript

  1. SDカードフォレンジック

  2. 自己紹介 セキュリティ企業でセキュリティに関する事をしてます 安全確保支援士 Twitter:スー

  3. 今回のフォレンジックにあたり ・発表者はフォレンジック初心者 ・目標設定としては、データが取得できるところまで ・それ以上に関しては時間があれば

  4. 発表 やったことを時系列順に通していくスタイルで発表します

  5. どこまでやるか データ取得を目的としているが、フォレンジックとしてはどこまでやるか ・カードリーダーで接続してできる範囲 ・物理的に削って直接データアクセスを試みる範囲

  6. どこまでやるか データ取得を目的としているが、フォレンジックとしてはどこまでやるか ・カードリーダーで接続してできる範囲←今回はここまで ・物理的に削って直接データアクセスを試みる範囲

  7. どこまでやるか データ取得を目的としているが、フォレンジックとしてはどこまでやるか ・カードリーダーで接続してできる範囲←今回はここまで ・物理的に削って直接データアクセスを試みる範囲 理由として、中身のデータよりSDカードの方が優先度が高いため 機会があれば削ってデータアクセスしてみたい

  8. 今回フォレンジックするSDカード

  9. 今回フォレンジックするSDカード ミラーレスカメラで利用していたSDカード 突然エラーが発生してアクセスができなくなった

  10. 今回フォレンジックするSDカード Windowsに接続しても不可

  11. フォレンジック フォレンジックをしていくにあたりはじめにやることとは

  12. フォレンジック フォレンジックをしていくにあたりはじめにやることとは 原本の保全ですね なので原本のコピーを作成するために仮想環境を用意します

  13. 原本のコピー 1.Ubuntuを用意

  14. 原本のコピー 1.Ubuntuを用意 2.gddrescueをインストール  ddでデータ移せばいいやと考えていたが、参考に調べるとddでは上手くいかない場合 があるようだったため

  15. 原本のコピー 1.Ubuntuを用意 2.gddrescueをインストール  3.実際に原本をコピーを試みる ホストOSに接続から仮想環境にうまく認識させることができない

  16. 原本のコピー 1.Ubuntuを用意 2.gddrescueをインストール  3.実際に原本をコピーを試みる ↓ 仮想環境でのフォレンジックは一旦諦める

  17. 原本のコピー 1.Windowsで原本のコピーもしくは直接解析出来る方法を探す 中身に重要な情報はないので、直接解析出来る方法も合わせて探すことにする

  18. 原本のコピー 1.Windowsで原本のコピーもしくは直接解析出来る方法を探す 2.Recuvaを試す 誤って削除してしまったファイルを復元できるソフト 出典 https://forest.watch.impress.co.jp/library/software/recuva/

  19. なんか色々便利そう

  20. 原本のコピー 1.Windowsで原本のコピーもしくは直接解析出来る方法を探す 2.Recuvaを試す 試すが、そもそもWindowsがSDカードをフォーマットしないと、使用不可と言ってくるため 動作しない

  21. 原本のコピー 1.Windowsで原本のコピーもしくは直接解析出来る方法を探す 2.Recuvaを試す 3.FTK Imagerを試す

  22. FTK Imager バイナリを表示する事ができた ざっと見た感じ壊れてる 下の方に行くとデータらしきものがある

  23. 原本のコピー 1.Windowsで原本のコピーもしくは直接解析出来る方法を探す 2.Recuvaを試す 3.FTK Imagerを試す 4.FTK ImagerでSDカードの保全をする 機能としてあり、Export Disk Imageで作成する

  24. 原本のコピー 1.Windowsで原本のコピーもしくは直接解析出来る方法を探す 2.Recuvaを試す 3.FTK Imagerを試す 4.FTK ImagerでSDカードの保全をする 機能としてあり、Export Disk Imageで作成する

    続いて、この作成したイメージをどうやって読み込むか

  25. Autopsy

  26. Autopsy 作成したイメージを読みこめた 中の画像データを普通に出してくれる 右の図のように色々分類分けもある

  27. Autopsy

  28. Autopsy 実際に復元できた写真

  29. Autopsy 実際に復元できた写真 16進数版

  30. Autopsy 実際に復元できた写真 復元で出てきた写真は実は、フォーマットで更新をしていたものが多かった カメラの利用しているフォーマットの種類のためそこについては仕方ない

  31. 原本のコピー 1.Windowsで原本のコピーもしくは直接解析出来る方法を探す 2.Recuvaを試す 3.FTK Imagerを試す 4.FTK ImagerでSDカードの保全をする 5.Autopsyで先ほど作成したイメージを読み込む 6.画像を抽出する事に成功

  32. 試さなかったこと Linuxの実機での解析 →メンテナンス中ですぐに稼働出来るものが無かった バイナリデータから無理矢理ファイル抽出 →コードを書いてバイナリ抽出して、ファイルと思われる物を抽出する案もあった →既存のツールだけで出来たから目的は達成済み、その為あまりやる理由無し

  33. まとめ ・今回の事例ならまだ意外と苦労せずに復元はできた ・確実にフォレンジック対策をしたい場合は、記憶媒体を物理的に破壊するべき ・機密性の高い情報を保存していなかった場合は、記憶媒体の全てのビットにたいして 複数回の上書きをかけた方が安心 ・記憶媒体はいつ死ぬか判別が難しいのでバックアップは大事 参考 https://www.ipa.go.jp/security/crypto/gmcbt80000005u4j-att/SP800-88rev1.pdf