デジタルフォレンジック参考資料

Digital Forensics Reference Material
Group
デジタルフォレンジック参考資料
■Windows系コンピュータにおける画像の調査項目例
削除済み
画像ファイル
既存画像ファイル
電子メール
画像ファイルの復元
・削除ファイル内に画像が含まれていないかの調査（キーワード検索）
・Volume Shadow Copy内の削除された画像ファイル調査
・未使用領域から画像ファイルパターンを利用したファイル復元
・Pagefile.sysから画像ファイルパターンを利用したファイル復元
・ハイバネーションファイルから画像ファイルパターンを利用したファイル復元
画像ファイルの確認
・シグネチャ分析の実行
・拡張子/ファイルタイプによるフィルタ
・Volume Shadow Copy 内の画像ファイル調査
・PDF画像ファイル（スキャン文書）の検出
・ハッシュ値による画像ファイル検索
・近似ファイルの検出
複合ファイルの確認
・サムネイルファイル（Thumbs.db）内画像ファイルの調査
・圧縮ファイル内画像ファイルの調査
・圧縮ファイル内に保存されているファイル名文字列に対する、拡張子文字列（.JPG）パターンの検索
ファイル内画像ファイルの確認
・ファイル内画像データのパターン検索（文書ファイル等でファイル内で圧縮処理がされてないもの）
・PDF内画像ファイルの確認
隠蔽・保護ファイルの確認
・保護ファイル（パスワード保護等）が設定されているファイルの検出
・暗号化コンテナ（ボリューム）の利用痕跡の調査
・ステガノグラフィツールなどデータ隠蔽ツールの利用痕跡調査（UserAssist）
携帯デバイスの調査
・PC上のバックアップファイル内の画像調査
・画像ファイルの添付ファイル検出と抽出
・圧縮ファイル内の画像ファイルの添付ファイル検出と抽出
電子メール添付ファイルの調査
・Volume Shadow Copy内メールボックス（添付ファイル）の調査
・未使用領域における削除メール痕跡の調査（添付ファイル名）
ショートカットファイルの調査
・LNKファイル内における画像ファイル参照の痕跡調査
・未使用領域におけるLNKファイル内の痕跡調査（ObjectID）
・Volume Shadow Copy内のLNKファイル調査
ファイル名痕跡の調査
・LNKファイルにおける画像を示すファイル名文字列痕跡の検索
・未使用領域における画像を示すファイル名文字列痕跡の検索
・レジストリファイルにおけるファイル名文字列痕跡の調査
・ゴミ箱フォルダのファイル名文字列の痕跡調査（INFO2）
・Volume Shadow Copy内のゴミ箱フォルダ調査
・ファイル名変更痕跡の調査（$FILE_NAME属性）
・Windows Search インデックスにおけるファイル名痕跡の確認
・データ送信可能なアプリケーションの履歴調査（Skype・P2P等）
画像ファイル名の
痕跡
1
■Windows系コンピュータにおけるデータ取扱いの調査項目例
外付デバイス
USBデバイスの接続利用の調査
・レジストリ（USBSTOR）の痕跡調査
・Volume Shadow Copy内レジストリ（USBSTOR)の痕跡調査
ショートカットファイルの調査
・ユーザのホームディレクトリのRecentフォルダの調査
・LNKファイル内における外付けデバイス参照の痕跡調査
・未使用領域におけるLNKファイル内の痕跡調査（ObjectID）
・Volume Shadow Copy内のLNKファイル調査
ファイル名痕跡の調査
・外付けデバイス上を示す対象ファイル名文字列痕跡の検索
・レジストリ（MRU）のファイル名痕跡の調査
携帯デバイスの調査
・PC上のバックアップファイルの調査
電子メールデータの調査
・削除メールの復元
・Volume Shadow Copy内メールボックスの調査
・VSS内メールボックスと現メールボックスの差異調査
・未使用領域における削除メール痕跡の調査（添付ファイル名）
・電子メールに対するキーワード検索
・PST,DBXボックス未使用領域に対するキーワード検索
電子メール添付ファイルの調査
・保護された添付ファイルの検出と抽出
・圧縮ファイルを含む添付ファイルに対するキーワード検索
・添付ファイルの抽出とファイルシグネチャ分析
・ファイルタイプの識別と分類（画像等の選別）
電子メール
メモリイメージ内の電子メール痕・メモリイメージ内の電子メールプロセス空間の抽出
・ブラウザプロセスデータ内における文字列検索（ファイル名痕跡）
跡調査
Webメールの調査
・Web 履歴を利用したWebメール利用痕跡の確認（URL文字列の確認）
・レジストリ(TypedURLs)を利用したWebメール利用痕跡の確認（URL文字列の確認）
・アイコン画像を利用したWebメール利用痕跡の確認
・Windows Search インデックスにおけるWebメール利用痕跡の確認
・Volume Shadow Copy内Web 履歴の調査
・未利用領域におけるWeb履歴の復元と調査
・未使用領域におけるWebメール痕跡の調査（文字列痕跡）
・ブラウザセッションリカバリファイルの調査
Webメール添付ファイルの調査
・Web 履歴ファイルに対する添付ファイル文字列痕跡の検索
Webメール
メモリイメージ内のWebメール痕・メモリイメージ内のブラウザプロセス空間の抽出
・ブラウザプロセスデータ内における文字列検索（ファイル名痕跡）
跡調査
削除ファイルの復元
・削除ファイル内に機密情報が含まれていないかの調査（キーワード検索）
・削除ファイルに保護されたファイルが無いか確認
・ゴミ箱フォルダの痕跡確認（INFO2）
未使用領域のキーワード検索
・未使用領域内に対するキーワード検索（文字列・ファイル名痕跡の確認）
・アプリケーションログに対する、ファイル名などのキーワード検索
外部へのデータ送信痕跡の確認・データ送信可能なアプリケーションの実行痕跡確認
・データ送信可能なアプリケーションの履歴調査（Skype等）
印刷痕跡の確認
文書ファイル
2
スワップファイル等から印刷ジョブ実行時のシャドウファイル/スプールファイルを検出
メモリイメージ内の文書ファイル痕・メモリイメージ内のファイル取り扱い情報（オープンファイル）の調査
跡調査
・メモリイメージ内における文字列検索（ファイル名・データ痕跡）
機密情報ファイルの確認
・圧縮ファイル内のファイルを含む既存ファイルに対するキーワード検索
・ハッシュ値によるファイル検索
・Volume Shadow Copy 内のファイル調査
・近似ファイルの検出
・PDF画像ファイル（スキャン文書）の検出
隠蔽・保護ファイルの確認
・OSインストール日時の確認（再インストール有無）
・保護ファイル（パスワード保護等）が設定されているファイルの検出
・ファイル名変更痕跡の調査（$FILE_NAME属性）
・隠し属性のファイル、拡張子が変更されたファイルを検出
・暗号化コンテナ（ボリューム）の利用痕跡の調査
・ステガノグラフィツールなどデータ隠蔽ツールの利用痕跡調査（UserAssist）
■Windows系サーバシステムにおける侵害発生時の調査項目例
・削除ファイルの復元
ウイルススキャンの実施（削除ファ・Volume Shadow Copy 内からの削除ファイルの復元
・メモリイメージ内の実行ファイルを抽出
イル含む）
・オフラインでのウイルススキャンを実行
ウイルス駆除痕跡の確認
・悪意のあるソフトウェアの削除ツールのログ確認
・ウイルス対策ソフトのログ確認
・Windows FireWall などの通信ログの確認
不審なファイルの検出
・ハッシュ値の計算
・既知ファイルの除外（ハッシュライブラリ）
・不審なファイルの特定
・不審なファイルのタイムライン調査
不審なプログラム実行の検出
・プログラムの実行痕跡の調査（UserAssist）
・プログラムの実行痕跡の調査（プリフェッチファイル）
・メモリイメージ、クラッシュダンプ内の実行痕跡の調査
・設定ファイルやレジストリから自動起動するプログラムを調査
マルウェア・
バックドアの検出
・イベントログにてログオン失敗・成功の監査レコードを調査
システムログでログイン情報など
・アプリケーションのログでエラーとなっているレコードを調査
を調査
・クラッシュダンプファイルでSTOPエラーの原因を調査
バックドア・マルウェアが仕込まれ・復元された削除ファイルを含む、不審ファイルのタイムスタンプから時系列に侵害された痕跡を調査
・不審なログオンのタイムスタンプから、時系列に実行ファイルなどの痕跡を調査
不正アクセス発生た時期の調査
時期の特定作業
不審なファイルの時系列調査
・不審ファイルのタイムスタンプなどから、関連しているアプリケーションの特定
・ファイルの変化について時系列に調査
・メモリイメージ、クラッシュダンプ内のプロセス情報から不審なプログラムの開始時間、終了時間を抽出
・Volume Shadow Copy 内の不審ファイルの時系列調査
不正アクセス被害攻撃に利用された脆弱性・設定・原因と推測される項目の洗い出し
・原因の根拠となるデータ痕跡の調査（イベントログの確認等）
発生原因の特定不備の確認
タイムラインによる被害範囲の調・侵害発生タイミング以降での時系列でのファイル変化
査
・侵害発生タイミング以降での、隠蔽工作の確認（実行痕跡）
他システムへのアクセス有無
・内部ネットワークホスト名痕跡のキーワード検索
・内部ネットワークIPアドレス痕跡のキーワード検索
・内部ネットワークへの接続痕跡の調査（アプリケーションログ等）
・内部ネットワークへの接続痕跡の調査（レジストリ）
・内部ネットワークへの接続痕跡の調査（メモリイメージ）
削除ファイルの復元
・削除ファイル内に機密情報が含まれていないかの調査（キーワード検索）
・削除ファイルに保護されたファイルが無いか確認
未使用領域のキーワード検索
・未使用領域内に対するキーワード検索（文字列・ファイル名痕跡の確認）
・未使用領域からのファイル復元（パターンによる復元）
被害範囲の確認
情報漏洩の確認
・アプリケーションログに対する、ファイル名などのキーワード検索
・データ送信可能なアプリケーションの実行痕跡確認
外部へのデータ送信痕跡の確認・データ送信可能なアプリケーションの履歴調査（Skype等）
・Web 履歴を利用したデータ送信痕跡の確認（URL文字列の確認）
・メモリイメージから過去の通信履歴を復元
機密情報ファイルの確認
・既存ファイルに対するキーワード検索
・ハッシュ値によるファイル検索
・Volume Shadow Copy 内のファイル調査
・近似ファイルの検出
・PDF画像ファイル（スキャン文書）の検出
3
■Windows系コンピュータにおけるタイムスタンプの調査項目例
NTFS $SIA属性値
作成日時、更新日時、アクセス日時、エントリ更新日時
NTFS $FILENAME属性値
作成日時、更新日時、アクセス日時、エントリ更新日時
タイムスタンプ痕跡
64bit タイムスタンプ痕跡の検索（未利用領域、Pagefile.sys、メモリイメージ）
NTFS ディレクトリエントリ
NTFS トランザクションログ
FATディレクトリエントリ
作成日時、更新日時、アクセス日時、ボリュームラベル設定日時、フォーマット日時
exFATディレクトリエントリ
ファイル
タイムスタンプ
LNKファイル内のターゲットファイ
作成日時、アクセス日時、更新日時
ルタイムスタンプ(CAW)
NTFS ObjectID
Windows XPではオブジェクトID付与時点の日時情報
IE Index.datファイル内でファイル
を参照している日時
ゴミ箱フォルダ内のインデックス情
ゴミ箱への削除（移動）日時
報（INFO2）
NTFS $MFTファイルのタイムスタ
ファイルシステムのフォーマット日時
ンプ
Restore Point, VSS
以前のバージョンのファイルのMAC time
ZIP
アーカイブ内の
タイムスタンプ
RAR
LZH
CAB
ISO
Office文書ファイルメタ情報
ファイル内蔵
タイムスタンプ
更新日時
PDF文書ファイルのメタ情報（作
成日時・更新日時）
HTML文書ファイルのメタ情報
クッキーファイルのメタ情報
画像ファイル
メールファイル
Windows
OSログ
画像ファイルのメタ情報（撮影日
JPEGファイル内のEXIF情報
時等）
サムネイルファイル（Thumb.db）
内の更新日時
メールヘッダ
受信日時、送信日時、タイムゾーン
イベントログ
主にシステム周りのイベント発生日時
setupapi.log
インストール日時、USBデバイス接続日時
ファイアウォールログ
パケットの許可、拒否等の発生日時
プリフェッチファイル内の実行日時
プロセス
レジストリ
メモリイメージ内の実行日時
実行開始日時、実行終了日時
イベントログ内の監査ログ
プロセス追跡の監査レコードによるプログラム実行日時
NTUSER.DATファイル内の
UserAssistキー
シェルからの最終実行日時と実行回数
レジストリキー
更新日時
64bitタイムスタンプ痕跡の検索（未利用領域、Pagefile.sys、メモリイメージ）
レジストリ値内のタイムスタンプ
（値として日時情報を保存）
SAM ファイル内のログオン・ログオフ日時
OSインストール日時（HKLM¥software¥Microsoft¥Windows
NT¥CurrentVersion¥InstallDate）
OSシャットダウン日時（HKLM¥CurrentControlSet¥Control¥Windows¥ShutdownTime）
USB接続日時（HKLM¥・・・）
NTUSER.DATの更新日時
ユーザーのログオフ日時に近い値が保存
タイムゾーン設定
HKLM¥CurrentControlSet¥Control¥TimeZoneInformation
アクセス日時更新の無効化設定 HKLM¥CurrentControlSet¥Control¥FileSystem¥NtfsDisableLastAccessUpdate
HKEY_LOCAL_MACHINE¥SYSTEM¥CurrentControlSet¥Control¥FileSystem¥Maximu
ファイルシステムトンネリング機 mTunnelEntryAgeInSeconds (秒数設定)
HKEY_LOCAL_MACHINE¥SYSTEM¥CurrentControlSet¥Control¥FileSystem¥Maximu
能の設定状況
mTunnelEntries (有効無効設定)
4
■Windows系コンピュータにおけるUSBデバイスの調査項目例
USBdeviewツールによる調査
・既存 SYSTEM レジストリファイルの確認
・RP又はVolume Shadow Copy内のSYSTEMレジストリファイル確認
SANS手法によるレジストリキー調 http://blogs.sans.org/computer-forensics/files/2009/09/USB_Drive_Enclosure査
Guide.pdf
レジストリ上の
痕跡調査
・最終更新日時を利用したタイムラインの調査
USBキー
・削除されたレジストリキーの復元
HKLM¥SYSTEM¥CurrentCont
・RP又はVolume Shadow Copy内のレジストリファイル調査
rolSet¥Enum¥USB
・メモリイメージからのレジストリ復元
・最終更新日時を利用したタイムラインの調査
USBSTORキー
・削除されたレジストリキーの復元
・接続機器
・接続開始日時 HKLM¥SYSTEM¥CurrentCont ・RP又はVolume Shadow Copy内のレジストリファイル調査
・メモリイメージからのレジストリ復元
rolSet¥Enum¥USBSTOR
・最終接続日時
・U3デバイスの確認
・マウントデバイス名
MRUキー
・論理ドライブ名が外付けデバイスを示すファイル名痕跡の確認
・RP又はVolume Shadow Copy内のレジストリファイル調査
プログラム実行痕跡
（UserAssist）
・外付けデバイスから実行されたことを示すプログラムの確認
・暗号化解除用プログラムの実行痕跡
・RP又はVolume Shadow Copy内のレジストリファイル調査（UserAssist）
レジストリ文字列痕跡の調査
・未利用領域、Pagefile.sysに対する“nk”“vk”文字列痕跡検索
・“nk”“vk”文字列痕跡からUSB関連レジストリキーと値の確認
ログ上の痕跡調査 USBデバイス構成情報
ファイルの参照
・デバイスのセットアップログファイルの確認（setupapi.dev.log）
・Volume Shadow Copy内のセットアップログファイル調査
・未使用領域に対するセットアップログの痕跡文字列の検索
・デバイスの暗号化解除アプリケーションのインストールログの調査
ショートカットファイルの調査
・LNKファイル内における外付けデバイス上のファイル参照調査
・未使用領域におけるLNKファイル内の痕跡調査（ObjectID）
・Volume Shadow Copy内のLNKファイル調査
ファイル名痕跡の調査
・外付けデバイス上を示すファイル名文字列痕跡の検索
・FATディレクトリエントリ痕跡の検索（メモリイメージ・Pagefile.sys等）
・Index.dat ファイルで、外付けデバイスを示すファイル名痕跡の確認
プリフェッチファイルの調査
・デバイスの暗号化解除アプリケーションの実行痕跡
・未使用領域に対する暗号化解除アプリケーションの実行痕跡の検索
・Volume Shadow Copy内のプリフェッチファイル調査
USBシリアル番号の調査
・USBデバイスのシリアル番号特定（UVCView）
USB書き込み禁止設定の確認
・レジストリキー（HKLM¥SYSTEM¥CurrentControlSet¥Control¥StorageDevicePolicies）
のWriteProtect値を確認
・レジストリキー
（HKCU¥Software¥Microsoft¥Windows¥CurrentVersion¥Policies¥Explorer
USB自動実行(AutoRun)禁止設）のNoDriveTypeAutoRun値を確認（http://technet.microsoft.com/ja-jp/library/
cc959381(en-us).aspx）
定の確認
・レジストリキー(HKLM¥SOFTWARE¥Microsoft¥Windows
NT¥CurrentVersion¥IniFileMapping¥Autorun.inf)が存在するかを確認
その他
USB 大容量記憶装置ドライバの
・レジストリキー（HKLM¥SYSTEM¥CurrentControlSet¥Services¥USBSTOR）の値でStart値
設定確認（USBデバイスの無効
を参照し、自動実行になっているか確認
化）
特定デバイスの利用禁止設定の・レジストリキー（HKLM¥SYSTEM¥CurrentControlSet¥Enum¥USBSTOR¥）の値で、
確認
ConfigFlag、CSConfigFlag値を参照し、最下位ビットが1となっているかを確認
・XPの場合には: %SystemRoot%¥Inf¥usbstor.inf/.pnf のACLを確認
・Vistaは個別に二つのレジストリキーを確認
特定USBデバイスの使用許可の（HKLM¥SOFTWARE¥Policies¥Microsoft¥Windows¥DeviceInstall¥Restrictions¥Deny
DeviceIDs値=1 と
確認
HKLM¥SOFTWARE¥Policies¥Microsoft¥Windows¥DeviceInstall¥Restrictions¥DenyD
eviceIDs値="USB¥Class_08"）
5
■Windows系コンピュータにおけるマルウェア感染時の調査項目例
・削除ファイルの復元
ウイルススキャンの実施（削除ファ・Volume Shadow Copy 内からの削除ファイルの復元
・メモリイメージ内の実行ファイルを抽出
イル含む）
・オフラインでのウイルススキャンを実行
マルウェア・
バックドアの検出
ウイルス駆除痕跡の確認
・悪意のあるソフトウェアの削除ツールのログ確認
・ウイルス対策ソフトのログ確認
・Windows FireWall などの通信ログの確認
電子メール添付ファイルの確認
・添付ファイル抽出（削除メール含む）
・添付ファイルに対するウイルススキャンの実施
・電子メールが利用するテンポラリフォルダ配下のファイル名痕跡確認（ディレクトリエントリ）
不審なファイルの検出
・ハッシュ値の計算
・既知ファイルの除外（ハッシュライブラリ）
・不審な実行ファイル（EXE, DLL, SYS…）の特定
・不審なファイルのタイムライン調査
・不審なプロセスの検出
プログラム実行痕跡の調査（イベ・プロセス追跡の監査レコードの確認
ントログ）
・Windows File Protection（WFP)のエラーレコードの確認
プログラム実行痕跡の調査
（UserAssist）
実行痕跡の検出
・レジストリの調査（NTUSER.DAT の UserAssistキー）
・Volume Shadow Copy 内 NTUSER.DAT ファイルの調査
・ROT-13 文字列パターンの検索（未使用領域）
・ROT-13 文字列パターンの検索（メモリイメージ・Pagefile.sys・ハイバーネーションファイル）
・プリフェッチファイル内のプログラム実行痕跡
プログラム実行痕跡の調査（プリ・削除されたプリフェッチファイル内のプログラム実行痕跡
・プリフェッチファイル内のファイル名文字列痕跡の検索（未使用領域・メモリイメージ・
フェッチファイル）
Pagefile.sys・ハイバーネーションファイル）
・実行中プロセス情報の確認（実行ファイルのパス）
プログラム実行痕跡の調査（メモ・終了プロセス情報の確認（実行ファイルのパス）
・派生元プロセス情報の確認（実行ファイルのパス）
リイメージ）
・オープンファイル/レジストリキーの確認（不審なファイル、レジストリキーのオープン）
・自動実行キー内に登録されているファイルの確認
プログラム実行痕跡の調査（レジ・自動実行キーの最終更新日時の確認
・削除されたレジストリキーの復元とプログラム痕跡の確認
ストリ）
・レジストリキー内のバイナリデータ抽出とウイルススキャン
ファイル隠蔽痕跡
ファイル隠蔽痕跡の調査
の調査
・MFTファイル内でのファイル名痕跡の検索（$FILE_NAME)
・起動中状態とオフライン状態でのファイル差異（Rootkitによる隠蔽）
不審なファイルの
不審なファイルの時系列調査
時系列調査
・不審ファイルのタイムスタンプなどから、関連しているファイルの特定（ナノ秒単位）
・ファイルの変化について時系列に調査
・メモリイメージ、クラッシュダンプ内のプロセス情報から不審なプログラムの開始時間、終了時間
を抽出
・Volume Shadow Copy 内の不審ファイルの時系列調査
感染痕跡の調査感染痕跡の調査
・ウイルス感染による特徴的な文字列のキーワード検索
・ウイルス感染により作成される特徴的なファイルの検出
・ウイルス感染により作成される特徴的なファイル名のキーワード検索
ウィルスの解析
動的解析
通信先、オープンファイル・レジストリ、感染活動の情報収集
静的解析
・メモリイメージ内のプロセス実行コードを解析
・unpack後の実行ファイルをdisassemblerで解析
株式会社 Ji2 | 〒160-0022 東京都新宿区新宿 2-4-3 フォーシーズンズビル 10F
phone: 03-6369-8015 | fax: 03-6369-8016 | email: [email protected] | web: http://www.ji2.co.jp
6
ForensicｓReference - Doc#: 14070801

Download Report