Upgrade to Pro — share decks privately, control downloads, hide ads and more …

SDカードフォレンジック

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for su3158 su3158
April 19, 2025
Technology
980
2

 SDカードフォレンジック

フォレンジック初心者が、自身の遭遇した読み込めないSDカードから、データ復旧を試みた

Avatar for su3158

su3158

April 19, 2025

More Decks by su3158

See All by su3158
OWASP APTSを眺めてみた
Avatar for su3158 su3158
0
150
開発と脆弱性と脆弱性診断についての話
Avatar for su3158 su3158
1
1.4k

Other Decks in Technology

See All in Technology
「コーディング」しない人のための Claude Code 入門 ChatGPT の次の一歩 — 業務に組み込む 育成・共有・自動化
Avatar for ふくだ(fukuda ryu) rfdnxbro
2
1.1k
TROCCOで始めるクラウドコストを民主化するためのFinOps
Avatar for tk3fftk tk3fftk
3
560
APIテストとは?
Avatar for 草薙昭彦 nagix
0
170
Databricks における 生成AIガバナンスの実践
Avatar for Takaaki Yayoi taka_aki
1
280
Ruby::Boxでできること、Refinementsでできること
Avatar for Tomohiro Hashidate joker1007
3
380
AI Adaptable なテストを整える工夫 / Ways to Make Your Tests AI-Adaptable
Avatar for 株式会社ビットキー / Bitkey Inc. bitkey
PRO
2
210
脅威をエンジニアリングの糧にして:恐怖を乗り越えた先にあったもの / Turn threats into fuel for engineering: what lay beyond overcoming fear
Avatar for nrs nrslib
1
380
Platform Engineering as a Product: Criteria for Improvement and Multi-Tenant Design
Avatar for Kumo Ishikawa kumorn5s
0
490
[モダンアプリ勉強会]今更聞けないGit/GitHub入門
Avatar for つくぼし tsukuboshi
0
190
BigQuery の Cross-cloud Lakehouse への歩み
Avatar for Tomonori Hayashi / ぴーはや phaya72
2
540
AIを「創る」と「使う」の循環 — HRテックが実践するリアルなAI組織実装
Avatar for Taketo Sasaki taketo957
0
1.1k
「気づいたら仕事が終わっている」バクラクAIエージェント本番運用の裏側 / layerx-bakuraku-aie2026
Avatar for Yuya Matsumura yuya4
18
9.1k

Featured

See All Featured
The Art of Delivering Value - GDevCon NA Keynote
Avatar for David Neal reverentgeek
16
2k
The Curse of the Amulet
Avatar for Matthew Lei leimatthew05
1
13k
Ruling the World: When Life Gets Gamed
Avatar for Sebastian Deterding codingconduct
0
240
The SEO identity crisis: Don't let AI make you average
Avatar for Varn varn
0
480
Intergalactic Javascript Robots from Outer Space
Avatar for Vicent Martí tanoku
273
27k
Building the Perfect Custom Keyboard
Avatar for Naoto Takai takai
2
780
Build The Right Thing And Hit Your Dates
Avatar for Maggie C. maggiecrowley
39
3.2k
Why Your Marketing Sucks and What You Can Do About It - Sophie Logan
Avatar for Sophie Logan marketingsoph
0
160
How to Think Like a Performance Engineer
Avatar for Harry Roberts csswizardry
28
2.6k
Six Lessons from altMBA
Avatar for Skipper Chong Warson skipperchong
29
4.3k
How GitHub (no longer) Works
Avatar for Zach Holman holman
316
150k
Testing 201, or: Great Expectations
Avatar for Joseph Mastey jmmastey
46
8.2k

Transcript

  1. SDカードフォレンジック

  2. 自己紹介 セキュリティ企業でセキュリティに関する事をしてます 安全確保支援士 HN:スー

  3. 今回のフォレンジックにあたり ・フォレンジック初心者 ・目標設定としては、データが取得できるところまで ・それ以上に関しては時間があれば

  4. 発表 やったことを時系列順に通していきます 資料は共有します

  5. はじめにやらかし 準備段階で一つやらかした事があります

  6. None

  7. はじめにやらかし 痛恨のタイトルミス SDカードに無いデータという事になっていた そもそもタイトルが日本語としておかしい... これは世の中に広めるわけにはいかない

  8. 本題

  9. どこまでやるか データ取得を目的としているが、フォレンジックとしてはどこまでやるか ・カードリーダーで接続してできる範囲 ・物理的に削って直接データアクセスを試みる範囲

  10. どこまでやるか データ取得を目的としているが、フォレンジックとしてはどこまでやるか ・カードリーダーで接続してできる範囲←今回はここまで ・物理的に削って直接データアクセスを試みる範囲

  11. どこまでやるか データ取得を目的としているが、フォレンジックとしてはどこまでやるか ・カードリーダーで接続してできる範囲←今回はここまで ・物理的に削って直接データアクセスを試みる範囲 理由として、中身のデータよりSDカードの方が優先度が高いため

  12. 今回フォレンジックするSDカード

  13. 今回フォレンジックするSDカード ミラーレスカメラで利用していたSDカード 突然エラーが発生してアクセスができなくなった

  14. 今回フォレンジックするSDカード ミラーレスカメラで利用していたSDカード 突然エラーが発生してアクセスができなくなった

  15. 今回フォレンジックするSDカード Windowsに接続しても不可

  16. フォレンジック フォレンジックをしていくにあたりはじめにやることとは

  17. フォレンジック フォレンジックをしていくにあたりはじめにやることとは 原本の保管ですね なので原本のコピーを作成するために仮想環境を用意します

  18. 原本のコピー 1.Ubuntuを用意

  19. 原本のコピー 1.Ubuntuを用意 2.gddrescueをインストール 参考に調べるとddでは上手くいかない場合があるようだったため

  20. 原本のコピー 1.Ubuntuを用意 2.gddrescueをインストール 3.実際に原本をコピーを試みる ホストOSに接続から仮想環境にうまく認識させることができない

  21. 原本のコピー 1.Ubuntuを用意 2.gddrescueをインストール 3.実際に原本をコピーを試みる ↓ 仮想環境でのフォレンジックは一旦諦める

  22. 原本のコピー 1.Windowsで原本のコピーもしくは直接解析出来る方法を探す 中身に重要な情報はないので、直接解析出来る方法も合わせて探すことにする

  23. 原本のコピー 1.Windowsで原本のコピーもしくは直接解析出来る方法を探す 2.Recuvaを試す 誤って削除してしまったファイルを復元できるソフト 出典 https://forest.watch.impress.co.jp/library/software/recuva/

  24. なんか色々便利そう

  25. 原本のコピー 1.Windowsで原本のコピーもしくは直接解析出来る方法を探す 2.Recuvaを試す 試すが、そもそもWindowsがSDカードをフォーマットしないと、使用不可と言っ てくるため動作しない

  26. 原本のコピー 1.Windowsで原本のコピーもしくは直接解析出来る方法を探す 2.Recuvaを試す 3.FTK Imagerを試す

  27. FTK Imager バイナリを表示する事ができた ざっと見た感じ壊れてる 下の方に行くとデータらしきものがある

  28. 原本のコピー 1.Windowsで原本のコピーもしくは直接解析出来る方法を探す 2.Recuvaを試す 3.FTK Imagerを試す 4.FTK ImagerでSDカードの保全をする 機能としてあり、Export Disk Imageで作成する

  29. 原本のコピー 1.Windowsで原本のコピーもしくは直接解析出来る方法を探す 2.Recuvaを試す 3.FTK Imagerを試す 4.FTK ImagerでSDカードの保全をする 機能としてあり、Export Disk Imageで作成する

    続いて、この作成したイメージをどうやって読み込むか

  30. Autopsy 作成したイメージを読みこめた 中の画像データを普通に出してくれる 右の図のように色々分類分けもある

  31. Autopsy

  32. Autopsy 実際に復元できた写真

  33. Autopsy 実際に復元できた写真 16進数版

  34. Autopsy 実際に復元できた写真 復元で出てきた写真は実は、フォーマットで更新をしていたものが多かった カメラの利用しているフォーマットの種類のためそこについては仕方ない

  35. 原本のコピー 1.Windowsで原本のコピーもしくは直接解析出来る方法を探す 2.Recuvaを試す 3.FTK Imagerを試す 4.FTK ImagerでSDカードの保全をする 5.Autopsyで先ほど作成したイメージを読み込む 6.画像を抽出する事に成功

  36. 試さなかったこと Linuxの実機での解析 →メンテナンス中ですぐに稼働出来るものが無かった バイナリデータから無理矢理ファイル抽出 →コードを書いてバイナリ抽出して、ファイルと思われる物を抽出する案もあった →既存のツールだけで出来たから目的は達成済み、その為あまりやる理由無し

  37. まとめ ・確実にフォレンジック対策をしたい場合は、記憶媒体を物理的に破壊するべき ・機密性の高い情報を保存していなかった場合は、記憶媒体の全てのビットにた いして複数回の上書きをかけた方が安心 ・記憶媒体はいつ死ぬか判別が難しいのでバックアップは大事 参考 https://www.ipa.go.jp/security/crypto/gmcbt80000005u4j-att/SP800-88rev1.pdf