Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
SDカードフォレンジック
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
su3158
April 19, 2025
Technology
970
2
Share
SDカードフォレンジック
フォレンジック初心者が、自身の遭遇した読み込めないSDカードから、データ復旧を試みた
su3158
April 19, 2025
More Decks by su3158
See All by su3158
OWASP APTSを眺めてみた
su3158
0
130
開発と脆弱性と脆弱性診断についての話
su3158
1
1.4k
Other Decks in Technology
See All in Technology
「背中を見て育て」からの卒業 〜専門技術としてのテスト設計を軸に、品質保証のバトンを繋ぐ〜 #genda_tech_talk
nihonbuson
PRO
3
1.5k
Fラン学生が考える、AI時代のデザインに執着した突破口
husengs7
1
200
CARTA HOLDINGS エンジニア向け 採用ピッチ資料 / CARTA-GUIDE-for-Engineers
carta_engineering
0
47k
2026年春のAgentCoreアプデ 細かいやつ全部まとめ
minorun365
4
240
なぜ、IAMロールのプリンシパルに*による部分マッチングが使えないのか? / 20260518-ssmjp-iam-role-principal
opelab
1
130
おいらのAWSアップデートの追い方〜Slack×AgentCore〜
yakumo
1
110
PdM・Eng・QAで進めるAI駆動開発の現在地/aidd-with-pdm-eng-qa
shota_kusaba
0
250
データモデリング通り #5オンライン勉強会: AIに『ビジネスの文脈』を教え込むデータモデリング
datayokocho
0
290
R&D 祭 2024 UE5で絵コンテ・作画の制作支援ツールをつくる話
olmdrd
PRO
0
180
AWSアップデートから考える継続的な運用改善
toru_kubota
2
300
[みん強]AIの価値を最大化するデータ基盤戦略:Self-Service型Data Meshへの転換とAgentic AI Meshに向けた取り組み with Snowflake他
y_matsubara
1
100
AIAgentと取り組むKaggle
508shuto
2
140
Featured
See All Featured
Context Engineering - Making Every Token Count
addyosmani
9
890
技術選定の審美眼(2025年版) / Understanding the Spiral of Technologies 2025 edition
twada
PRO
118
110k
Faster Mobile Websites
deanohume
310
31k
What’s in a name? Adding method to the madness
productmarketing
PRO
24
4k
My Coaching Mixtape
mlcsv
0
130
Efficient Content Optimization with Google Search Console & Apps Script
katarinadahlin
PRO
1
550
Git: the NoSQL Database
bkeepers
PRO
432
67k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
250
1.3M
Joys of Absence: A Defence of Solitary Play
codingconduct
1
360
Reality Check: Gamification 10 Years Later
codingconduct
0
2.1k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
49
3.4k
Ruling the World: When Life Gets Gamed
codingconduct
0
230
Transcript
SDカードフォレンジック
自己紹介 セキュリティ企業でセキュリティに関する事をしてます 安全確保支援士 HN:スー
今回のフォレンジックにあたり ・フォレンジック初心者 ・目標設定としては、データが取得できるところまで ・それ以上に関しては時間があれば
発表 やったことを時系列順に通していきます 資料は共有します
はじめにやらかし 準備段階で一つやらかした事があります
None
はじめにやらかし 痛恨のタイトルミス SDカードに無いデータという事になっていた そもそもタイトルが日本語としておかしい... これは世の中に広めるわけにはいかない
本題
どこまでやるか データ取得を目的としているが、フォレンジックとしてはどこまでやるか ・カードリーダーで接続してできる範囲 ・物理的に削って直接データアクセスを試みる範囲
どこまでやるか データ取得を目的としているが、フォレンジックとしてはどこまでやるか ・カードリーダーで接続してできる範囲←今回はここまで ・物理的に削って直接データアクセスを試みる範囲
どこまでやるか データ取得を目的としているが、フォレンジックとしてはどこまでやるか ・カードリーダーで接続してできる範囲←今回はここまで ・物理的に削って直接データアクセスを試みる範囲 理由として、中身のデータよりSDカードの方が優先度が高いため
今回フォレンジックするSDカード
今回フォレンジックするSDカード ミラーレスカメラで利用していたSDカード 突然エラーが発生してアクセスができなくなった
今回フォレンジックするSDカード ミラーレスカメラで利用していたSDカード 突然エラーが発生してアクセスができなくなった
今回フォレンジックするSDカード Windowsに接続しても不可
フォレンジック フォレンジックをしていくにあたりはじめにやることとは
フォレンジック フォレンジックをしていくにあたりはじめにやることとは 原本の保管ですね なので原本のコピーを作成するために仮想環境を用意します
原本のコピー 1.Ubuntuを用意
原本のコピー 1.Ubuntuを用意 2.gddrescueをインストール 参考に調べるとddでは上手くいかない場合があるようだったため
原本のコピー 1.Ubuntuを用意 2.gddrescueをインストール 3.実際に原本をコピーを試みる ホストOSに接続から仮想環境にうまく認識させることができない
原本のコピー 1.Ubuntuを用意 2.gddrescueをインストール 3.実際に原本をコピーを試みる ↓ 仮想環境でのフォレンジックは一旦諦める
原本のコピー 1.Windowsで原本のコピーもしくは直接解析出来る方法を探す 中身に重要な情報はないので、直接解析出来る方法も合わせて探すことにする
原本のコピー 1.Windowsで原本のコピーもしくは直接解析出来る方法を探す 2.Recuvaを試す 誤って削除してしまったファイルを復元できるソフト 出典 https://forest.watch.impress.co.jp/library/software/recuva/
なんか色々便利そう
原本のコピー 1.Windowsで原本のコピーもしくは直接解析出来る方法を探す 2.Recuvaを試す 試すが、そもそもWindowsがSDカードをフォーマットしないと、使用不可と言っ てくるため動作しない
原本のコピー 1.Windowsで原本のコピーもしくは直接解析出来る方法を探す 2.Recuvaを試す 3.FTK Imagerを試す
FTK Imager バイナリを表示する事ができた ざっと見た感じ壊れてる 下の方に行くとデータらしきものがある
原本のコピー 1.Windowsで原本のコピーもしくは直接解析出来る方法を探す 2.Recuvaを試す 3.FTK Imagerを試す 4.FTK ImagerでSDカードの保全をする 機能としてあり、Export Disk Imageで作成する
原本のコピー 1.Windowsで原本のコピーもしくは直接解析出来る方法を探す 2.Recuvaを試す 3.FTK Imagerを試す 4.FTK ImagerでSDカードの保全をする 機能としてあり、Export Disk Imageで作成する
続いて、この作成したイメージをどうやって読み込むか
Autopsy 作成したイメージを読みこめた 中の画像データを普通に出してくれる 右の図のように色々分類分けもある
Autopsy
Autopsy 実際に復元できた写真
Autopsy 実際に復元できた写真 16進数版
Autopsy 実際に復元できた写真 復元で出てきた写真は実は、フォーマットで更新をしていたものが多かった カメラの利用しているフォーマットの種類のためそこについては仕方ない
原本のコピー 1.Windowsで原本のコピーもしくは直接解析出来る方法を探す 2.Recuvaを試す 3.FTK Imagerを試す 4.FTK ImagerでSDカードの保全をする 5.Autopsyで先ほど作成したイメージを読み込む 6.画像を抽出する事に成功
試さなかったこと Linuxの実機での解析 →メンテナンス中ですぐに稼働出来るものが無かった バイナリデータから無理矢理ファイル抽出 →コードを書いてバイナリ抽出して、ファイルと思われる物を抽出する案もあった →既存のツールだけで出来たから目的は達成済み、その為あまりやる理由無し
まとめ ・確実にフォレンジック対策をしたい場合は、記憶媒体を物理的に破壊するべき ・機密性の高い情報を保存していなかった場合は、記憶媒体の全てのビットにた いして複数回の上書きをかけた方が安心 ・記憶媒体はいつ死ぬか判別が難しいのでバックアップは大事 参考 https://www.ipa.go.jp/security/crypto/gmcbt80000005u4j-att/SP800-88rev1.pdf
su3158
nihonbuson
husengs7
carta_engineering
minorun365
opelab
yakumo
.jpg){kind=avatar}
shota_kusaba
datayokocho
olmdrd
toru_kubota
y_matsubara
508shuto
addyosmani
twada
deanohume
productmarketing
mlcsv
katarinadahlin
bkeepers
sugarenia
codingconduct
tammyeverts
