Upgrade to PRO for Only $50/Year—Limited-Time Offer! 🔥
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
SDカードフォレンジック
Search
su3158
April 19, 2025
Technology
2
910
SDカードフォレンジック
フォレンジック初心者が、自身の遭遇した読み込めないSDカードから、データ復旧を試みた
su3158
April 19, 2025
Tweet
Share
More Decks by su3158
See All by su3158
開発と脆弱性と脆弱性診断についての話
su3158
1
1.4k
Other Decks in Technology
See All in Technology
MySQLのSpatial(GIS)機能をもっと充実させたい ~ MyNA望年会2025LT
sakaik
0
120
『君の名は』と聞く君の名は。 / Your name, you who asks for mine.
nttcom
1
120
AI との良い付き合い方を僕らは誰も知らない
asei
0
270
子育てで想像してなかった「見えないダメージ」 / Unforeseen "hidden burdens" of raising children.
pauli
2
330
AWS運用を効率化する!AWS Organizationsを軸にした一元管理の実践/nikkei-tech-talk-202512
nikkei_engineer_recruiting
0
170
Snowflake導入から1年、LayerXのデータ活用の現在 / One Year into Snowflake: How LayerX Uses Data Today
civitaspo
0
2.5k
オープンソースKeycloakのMCP認可サーバの仕様の対応状況 / 20251219 OpenID BizDay #18 LT Keycloak
oidfj
0
180
「図面」から「法則」へ 〜メタ視点で読み解く現代のソフトウェアアーキテクチャ〜
scova0731
0
510
AI駆動開発ライフサイクル(AI-DLC)の始め方
ryansbcho79
0
190
投資戦略を量産せよ 2 - マケデコセミナー(2025/12/26)
gamella
0
440
Microsoft Agent Frameworkの可観測性
tomokusaba
1
110
たまに起きる外部サービスの障害に備えたり備えなかったりする話
egmc
0
420
Featured
See All Featured
Leveraging LLMs for student feedback in introductory data science courses - posit::conf(2025)
minecr
0
89
Large-scale JavaScript Application Architecture
addyosmani
515
110k
svc-hook: hooking system calls on ARM64 by binary rewriting
retrage
1
30
Faster Mobile Websites
deanohume
310
31k
The Hidden Cost of Media on the Web [PixelPalooza 2025]
tammyeverts
2
120
How To Stay Up To Date on Web Technology
chriscoyier
791
250k
Skip the Path - Find Your Career Trail
mkilby
0
27
Lightning Talk: Beautiful Slides for Beginners
inesmontani
PRO
1
410
Game over? The fight for quality and originality in the time of robots
wayneb77
1
66
SEO Brein meetup: CTRL+C is not how to scale international SEO
lindahogenes
0
2.2k
Designing Powerful Visuals for Engaging Learning
tmiket
0
190
Mind Mapping
helmedeiros
PRO
0
39
Transcript
SDカードフォレンジック
自己紹介 セキュリティ企業でセキュリティに関する事をしてます 安全確保支援士 Twitter:スー
今回のフォレンジックにあたり ・発表者はフォレンジック初心者 ・目標設定としては、データが取得できるところまで ・それ以上に関しては時間があれば
発表 やったことを時系列順に通していくスタイルで発表します
どこまでやるか データ取得を目的としているが、フォレンジックとしてはどこまでやるか ・カードリーダーで接続してできる範囲 ・物理的に削って直接データアクセスを試みる範囲
どこまでやるか データ取得を目的としているが、フォレンジックとしてはどこまでやるか ・カードリーダーで接続してできる範囲←今回はここまで ・物理的に削って直接データアクセスを試みる範囲
どこまでやるか データ取得を目的としているが、フォレンジックとしてはどこまでやるか ・カードリーダーで接続してできる範囲←今回はここまで ・物理的に削って直接データアクセスを試みる範囲 理由として、中身のデータよりSDカードの方が優先度が高いため 機会があれば削ってデータアクセスしてみたい
今回フォレンジックするSDカード
今回フォレンジックするSDカード ミラーレスカメラで利用していたSDカード 突然エラーが発生してアクセスができなくなった
今回フォレンジックするSDカード Windowsに接続しても不可
フォレンジック フォレンジックをしていくにあたりはじめにやることとは
フォレンジック フォレンジックをしていくにあたりはじめにやることとは 原本の保全ですね なので原本のコピーを作成するために仮想環境を用意します
原本のコピー 1.Ubuntuを用意
原本のコピー 1.Ubuntuを用意 2.gddrescueをインストール ddでデータ移せばいいやと考えていたが、参考に調べるとddでは上手くいかない場合 があるようだったため
原本のコピー 1.Ubuntuを用意 2.gddrescueをインストール 3.実際に原本をコピーを試みる ホストOSに接続から仮想環境にうまく認識させることができない
原本のコピー 1.Ubuntuを用意 2.gddrescueをインストール 3.実際に原本をコピーを試みる ↓ 仮想環境でのフォレンジックは一旦諦める
原本のコピー 1.Windowsで原本のコピーもしくは直接解析出来る方法を探す 中身に重要な情報はないので、直接解析出来る方法も合わせて探すことにする
原本のコピー 1.Windowsで原本のコピーもしくは直接解析出来る方法を探す 2.Recuvaを試す 誤って削除してしまったファイルを復元できるソフト 出典 https://forest.watch.impress.co.jp/library/software/recuva/
なんか色々便利そう
原本のコピー 1.Windowsで原本のコピーもしくは直接解析出来る方法を探す 2.Recuvaを試す 試すが、そもそもWindowsがSDカードをフォーマットしないと、使用不可と言ってくるため 動作しない
原本のコピー 1.Windowsで原本のコピーもしくは直接解析出来る方法を探す 2.Recuvaを試す 3.FTK Imagerを試す
FTK Imager バイナリを表示する事ができた ざっと見た感じ壊れてる 下の方に行くとデータらしきものがある
原本のコピー 1.Windowsで原本のコピーもしくは直接解析出来る方法を探す 2.Recuvaを試す 3.FTK Imagerを試す 4.FTK ImagerでSDカードの保全をする 機能としてあり、Export Disk Imageで作成する
原本のコピー 1.Windowsで原本のコピーもしくは直接解析出来る方法を探す 2.Recuvaを試す 3.FTK Imagerを試す 4.FTK ImagerでSDカードの保全をする 機能としてあり、Export Disk Imageで作成する
続いて、この作成したイメージをどうやって読み込むか
Autopsy
Autopsy 作成したイメージを読みこめた 中の画像データを普通に出してくれる 右の図のように色々分類分けもある
Autopsy
Autopsy 実際に復元できた写真
Autopsy 実際に復元できた写真 16進数版
Autopsy 実際に復元できた写真 復元で出てきた写真は実は、フォーマットで更新をしていたものが多かった カメラの利用しているフォーマットの種類のためそこについては仕方ない
原本のコピー 1.Windowsで原本のコピーもしくは直接解析出来る方法を探す 2.Recuvaを試す 3.FTK Imagerを試す 4.FTK ImagerでSDカードの保全をする 5.Autopsyで先ほど作成したイメージを読み込む 6.画像を抽出する事に成功
試さなかったこと Linuxの実機での解析 →メンテナンス中ですぐに稼働出来るものが無かった バイナリデータから無理矢理ファイル抽出 →コードを書いてバイナリ抽出して、ファイルと思われる物を抽出する案もあった →既存のツールだけで出来たから目的は達成済み、その為あまりやる理由無し
まとめ ・今回の事例ならまだ意外と苦労せずに復元はできた ・確実にフォレンジック対策をしたい場合は、記憶媒体を物理的に破壊するべき ・機密性の高い情報を保存していなかった場合は、記憶媒体の全てのビットにたいして 複数回の上書きをかけた方が安心 ・記憶媒体はいつ死ぬか判別が難しいのでバックアップは大事 参考 https://www.ipa.go.jp/security/crypto/gmcbt80000005u4j-att/SP800-88rev1.pdf
su3158
sakaik
nttcom
asei
pauli
nikkei_engineer_recruiting
civitaspo
oidfj
scova0731
ryansbcho79
gamella
tomokusaba
egmc
minecr
addyosmani
retrage
deanohume
tammyeverts
chriscoyier
mkilby
inesmontani
wayneb77
lindahogenes
tmiket
helmedeiros
