いきなり寝坊して1時間遅れ・・・
「Liveで立ち上げ、DD」のような方法は既知なのですが、フォレンジック対象のOSを起動して、復旧ポイントに戻す操作を行うのはフォレンジック作業的によろしくないです・・・
だから、オフラインでやってみようという趣旨だと理解。
第1の試み 「EnCaseのエミュレーションで別OSにマウント」
何をやったのかは id:hideakii さんの日記を参考
■スナップショットを含むボリュームの仮想的なマウント
http://d.hatena.ne.jp/hideakii/20091004/1254610660
EnCaseはディスクイメージをエミュレーションでマウントする機能があります。*2
スナップショットが取られたHDDをマウント後にvssadminでシャドウコピーを確かめたけど、何も表示されずというわけで、終了・・・*3
第2の試み
cipherコマンドで未割り当て領域をすべてワイプした状態でも、元のデータがHDDに存在することが判明。
実際には、MFTにデータが含まれていた。でも、シャドウコピーを作成した時点ではMFTにデータがないので、どういう条件でそうなるのか調べてみた。
調べた方法:
shadowを削除 (初期状態に戻した) cipher /w (未割り当て領域を確実に消した) 1000byteのテキストデータを作成(hoge) ドライブEに置く スナップショットを取る (MFTにhogeのレコードが入るという仮説) 結果 ・MFTにはデータそのものはないが、hogeのエントリはある (FILE0...........短い名前............長い名前)
この時点ではMFTに出たは存在しない。元のファイルのデータ領域が別の何かで上書きされるときにMFTに移動すると仮定して検証続行。
テキストの内容を変更して保存(fuga) MFTを確認すると、hogeのデータがそのまま保存されると予測 結果 ・上書きされるタイミングで元データがMFTへ移動 ・fugaに書き換えたという更新MFTにエントリは存在せず
スナップショットの対象となったファイルのデータは未割り当てに存在できる場合は未割り当て領域に存在し続けます(ファイルの削除だけだとMFTに移動しない感じだった。これはちゃんと検証していないです)
上書き保存、ワイプなどの操作を行い、データが元々存在していた領域に存在できなくなった場合はMFTへ移動します
ここまでで勉強会終了
完全な走り書き
上に書いているのも走り書きなんだけど・・・
・mftのファイルはスナップショットを取るたびに作成される。
スナップショットの差分がファイルに保存される
・古いデータ(hogeのデータ)そのものが小さいファイルに移動
新しいスナップショット(fugaのエントリ)が大きいファイルに追記された これは賢い(・∀・)!!
・古いスナップショットと新しいスナップショットの差分ファイルの作成の動作だけど、
実は古いスナップショットがそのまま、差分ファイルになっている。(ファイル作成時刻で確認)
・初期のスナップが取られたときに、どの範囲の情報がスナップショットが含まれているのか?←個々が不明
この中の情報をうまく活用できるとLiveでなくても、昔のスナップショットのディスクを再現可能。【急募】スナップショットパーサー www
未割り当てにあるファイルも現状のHDDを直接見るよりも、あわせて見た方が詳細な情報が取得できる気がする*4
あ〜、説明がうまくいかない orz
上の続き
Snapshotが作られた時点に存在するすべてのファイルは復元可能なんだから、現状+MFTみれば、Snapshotを取ったデータが取れるのは当然なんだけど・・・
どの程度のファイル情報がMFTに格納されているか不明〜
Snapshotを作成したあとで作成したファイルは現状のディスクを漁るしかないわけだ。
Snapshot1を作成し、色々操作をした後でSnapshot2を作成した場合だと、Snapshotを取る間のデータはMFTには存在せず、現状のディスクを漁るしかない。それにそこにあるかどうかもわからない。
ところで、hogeのデータのあとにfugaを追記した場合
今回はhoge のデータを全部fugaに書き換えたけど、 hogeのデータのあとにfugaを追記した場合はMFTに格納するのかな?? それだと、定期的に出力されるログがあるディスクのスナップショットを定期的に取ったらあっというまにやばいことになりそう。
うまくファイルの差分だけ保存するのかな?
今回の参考にならなかった参考ページ
シャドウコピーのLiveフォレンジックについて
http://forensicsfromthesausagefactory.blogspot.com/2009/08/vista-volume-shadow-copy-issues.html
https://blogs.sans.org/computer-forensics/2008/10/10/shadow-forensics/
*1:Shadowコピーに内容に対するフォレンジックはライブフォレンジックしか手法がネットに情報がありません。Windows Forensic Analysis DVD Toolkit ではたった2ページしか記載がないです。HDDを引っこ抜いて、立ち上げずに分析することをオフラインフォレンジックと呼んでいます。
*2:残り容量が雀の涙しかないノートPCで、大容量のHDDをマウントできたのはちょっとびっくり。
*3:他に何か色々試みたみたいだけど、別のことをやってたりであんまり覚えていないwwスナップショットが取られるときのプロセスの動作みたりとか・・・
*4:今のままでも、テーブルにないデータを見ることはできるけど、どこがデータか定義されている分、楽な気がする