削除されたファイルの復元

削除されたファイルの復元
2004/05/26
伊原 秀明(Port139)
削除ファイル
• ディスク上には削除されたファイル(データ)
がそのまま残っている可能性がある
• ファイル(データ)が削除されると、使用してい
た領域は空いた(未使用)領域となり、再利用
される
• この為、削除されたデータは消えやすく、常に
復元できるとは限らない(揮発性情報)
• ディスクへの書き込みを発生させないこと
© Hideaki Ihara(Port139).
2
Forensicにおける削除データ
• Computer Forensicsでは、複製したファイル
システム イメージから、データを復元すること
になる
• 削除ファイルを復元することで、証拠となる
データを発見できる可能性がある
(ツールの圧縮ファイル,Readmeなど)
• 未割当て領域からもデータを収集し、証拠と
なりそうな情報を探し出す
© Hideaki Ihara(Port139).
3
削除ファイル/断片データ
割り当て済み領域
ファイル(データ)
削除されたファイル
復元可能
削除されたファイル
断片
未割り当て領域
未使用
© Hideaki Ihara(Port139).
残されたファイル
4
(管理情報なし)
削除済みデータ復元ツール
• 専用ツール
• FINALDATA
http://www.finaldata.ne.jp/
• R-Studio
http://www.r-tt.com/
http://canon-sol.jp/product/dr/index.html
• 削除されたファイルを一時退避
Undelete 3.0
http://www.sohei.co.jp/
© Hideaki Ihara(Port139).
5
削除ファイル復元(R-Studio)
ファイル/フォルダ
HDD
復元
R-Studio
dd
読み込み
Image File
削除されたファイル/フォルダ
NTFS代替データストリーム
削除された領域
R-Studioはddで複製したファイルシステム イメージから復元が可能
© Hideaki Ihara(Port139).
6
部分削除
セクタ
使用部分
Slack
部分削除
削除
使用部分
Slack
データを一部削除
Slack
スラック部分の調査
部分的にデータが削除された場合、復元・調査が困難
© Hideaki Ihara(Port139).
7
断片データの調査
セクタ
使用部分
Slack
スラック部分の調査
ファイル削除
復元可能部分
Slack
削除ファイルの復元
Slack
断片情報の調査
一部使用
上書き
断片部分
復元できなくとも、断片部分にデータが残っている可能性がある
© Hideaki Ihara(Port139).
8
未割り当て領域の収集・調査
データ
Slack データ 未使用
断片
データ
収集
Slack 未使用
断片 未割り当て領域の集合ファイル
読み取り可能 文字列の調査
※実行するコマンドによってはSlackスペースを含まない場合もある
© Hideaki Ihara(Port139).
9
削除ファイル復元の妨げ
• データの書込み
• デフラグメント
• 完全削除ツール
© Hideaki Ihara(Port139).
10
完全削除ツール
• 機密情報の保護などの目的に利用
(例:廃棄パソコンのHDDからの情報漏洩を防ぐ)
• 削除ファイルのエントリ, データを完全削除
• 未使用領域のデータを完全削除(cipher等)
• ファイル等を復元できないように削除するソフトウェア
http://www.unixuser.org/~haruyama/security/user_security/sakuzyo_too
l.html
• Phrack 59「Defeating Forensic Analysis on Unix」
http://www.phrack.com/show.php?p=59&a=6
日本語訳
http://www.monyo.jp/technical/samba/rfc/p59-0x06.ja.txt
© Hideaki Ihara(Port139).
11