削除されたファイルの復元 2004/05/26 伊原 秀明(Port139) 削除ファイル • ディスク上には削除されたファイル(データ) がそのまま残っている可能性がある • ファイル(データ)が削除されると、使用してい た領域は空いた(未使用)領域となり、再利用 される • この為、削除されたデータは消えやすく、常に 復元できるとは限らない(揮発性情報) • ディスクへの書き込みを発生させないこと © Hideaki Ihara(Port139). 2 Forensicにおける削除データ • Computer Forensicsでは、複製したファイル システム イメージから、データを復元すること になる • 削除ファイルを復元することで、証拠となる データを発見できる可能性がある (ツールの圧縮ファイル,Readmeなど) • 未割当て領域からもデータを収集し、証拠と なりそうな情報を探し出す © Hideaki Ihara(Port139). 3 削除ファイル/断片データ 割り当て済み領域 ファイル(データ) 削除されたファイル 復元可能 削除されたファイル 断片 未割り当て領域 未使用 © Hideaki Ihara(Port139). 残されたファイル 4 (管理情報なし) 削除済みデータ復元ツール • 専用ツール • FINALDATA http://www.finaldata.ne.jp/ • R-Studio http://www.r-tt.com/ http://canon-sol.jp/product/dr/index.html • 削除されたファイルを一時退避 Undelete 3.0 http://www.sohei.co.jp/ © Hideaki Ihara(Port139). 5 削除ファイル復元(R-Studio) ファイル/フォルダ HDD 復元 R-Studio dd 読み込み Image File 削除されたファイル/フォルダ NTFS代替データストリーム 削除された領域 R-Studioはddで複製したファイルシステム イメージから復元が可能 © Hideaki Ihara(Port139). 6 部分削除 セクタ 使用部分 Slack 部分削除 削除 使用部分 Slack データを一部削除 Slack スラック部分の調査 部分的にデータが削除された場合、復元・調査が困難 © Hideaki Ihara(Port139). 7 断片データの調査 セクタ 使用部分 Slack スラック部分の調査 ファイル削除 復元可能部分 Slack 削除ファイルの復元 Slack 断片情報の調査 一部使用 上書き 断片部分 復元できなくとも、断片部分にデータが残っている可能性がある © Hideaki Ihara(Port139). 8 未割り当て領域の収集・調査 データ Slack データ 未使用 断片 データ 収集 Slack 未使用 断片 未割り当て領域の集合ファイル 読み取り可能 文字列の調査 ※実行するコマンドによってはSlackスペースを含まない場合もある © Hideaki Ihara(Port139). 9 削除ファイル復元の妨げ • データの書込み • デフラグメント • 完全削除ツール © Hideaki Ihara(Port139). 10 完全削除ツール • 機密情報の保護などの目的に利用 (例:廃棄パソコンのHDDからの情報漏洩を防ぐ) • 削除ファイルのエントリ, データを完全削除 • 未使用領域のデータを完全削除(cipher等) • ファイル等を復元できないように削除するソフトウェア http://www.unixuser.org/~haruyama/security/user_security/sakuzyo_too l.html • Phrack 59「Defeating Forensic Analysis on Unix」 http://www.phrack.com/show.php?p=59&a=6 日本語訳 http://www.monyo.jp/technical/samba/rfc/p59-0x06.ja.txt © Hideaki Ihara(Port139). 11
© Copyright 2024 ExpyDoc