「デジタルフォレンジック」の版間の差分

提供: セキュリティ
移動: 案内検索
行100: 行100:
 
* [[CrowdInspect]]
 
* [[CrowdInspect]]
 
* [[triage-ir]]
 
* [[triage-ir]]
 +
 +
== フォレンジック用Linux ==
 +
* [[DEFT Linux]]
 +
* [[Kali Linux]]
  
 
== 関連項目 ==
 
== 関連項目 ==

2013年11月8日 (金) 00:06時点における版

デジタルフォレンジック ( Digital Forensics ) とは、不正アクセス の痕跡を調査することです。

コンピュータ・フォレンジクス (Computer Forensics)、フォレンジック (Forensics)。

読み方

デジタルフォレンジック
でじたる ふぉれんじっく
Digital Forensics 
でじたる ふぉれんじっく

概要

Apple iOS

  • iOS ストレージ HFSX
  • iOS は、2つのパーティションを持つ
    • 1つ目のパーティションは、ファームウェアパーティション
      • ファームウェアのアップデート時以外は、リードオンリーです。
      • このパーティションは、通常 0.9 - 2.7 GB で、ユーザデータを持ちません。
      • このパーティションは、システムファイル、アップグレードファイル、基本アプリケーショだけを含むと考えられます。
    • 2つめのパーティションは、ユーザデータを持ちます。
      • SQL Lite Database
        • ネイティブ iOS アプリケーションであるカレンダー、テキストメッセージ、ノート、フォト、アドレスブックなどがデータを格納しています。
      • plist(Property List)
        • plist は、 iOS のさまざまなタイプのデータを格納するために使われるデータファイル(property fileと呼ばれます)です。

iOS デバイスの分析をする場合には、 iTunes で作成したバックアップを利用します。 Windows や MacOS の端末に iOS のデバイスを接続し、バックアップを作成します。 バックアップは、OSごとに異なる場所に保存されます。

バックアップの格納場所
OS 格納場所
Windows XP  %systempartition%\documents and settings\ %username%\Application Data\Apple Computer\MobileSync\Backup
Windows 7  %systempartition%\Users\%username%\AppData\Roaming\Apple Computer\MobileSync\Backup\
MacOS Users/%username%/Library/Application Support/MobileSync/Backup

バックアップフォルダのルートには、ステータス、info や manifest plist ファイルがあります。 Status.plist は、最新のバックアップに関する情報を提供します。Info.plist ファイルは、デバイスネーム、ビルドバージョン、電話番号、最新のバックアップデータ、プロダクトバージョン、プロダクトタイプ、シリアルナンバー、同期の設定、デバイスにインストールされているアプリケーションの名前のリストなどのようなデバイスの詳細を含んでいます。

Keychain sqlite database バックアップファイルは、 KeychainDomain-keychain-backup.plist の SHA-1 で求められる 51a4616e576dd33cd2abadfea874eb8ff246bf0e です。

Crypticbit の iPhoneAnalyzerは、フリーのJava ベースのマルチプラットフォームで、iOSのバックアップからデータを取得できます。

暗号化されたバックアップの問題。 iTunes には、暗号化バックアップの機能があり、簡単にデータを閲覧することができません。 有償の Elcomsoft の iPhone Password Breaker があります。

iPhone Explorer は、Windows や MacOS で使えるツールです。 通話履歴、SMS、写真、コンタクト、ブックマークなどを取り出せます。

パスワードは、/private/var/Keychains 。 多くのiOSアプリケーションは、パスワードマネージメントにアップルのkeychainを使用します。 key-chain-2.db ファイルは、いくつものテーブル(cert, genp, inet, keys, sqlite_sequence, tversion) をもっています。

ノートは、 /private/var/mobile/Library/Notes

テキストメッセージは、/private/var/mobile

ブラウザクッキーは /private/var/mobile/Library

フォレンジックツール

  • EnCase
    商用
  • X-Ways
    フリー
  • The Sleuth Kit
    OSS ディスク調査用
  • Autopsy
    The Sleuth Kit をベースにした GUI ツール
  • The Volatility Framework
    メモリフォレンジックに特化したプラグイン拡張型ツール
  • LiME - Linux Memory Extractor (lime-forensics)
    ローダブルカーネルモジュール(LKM)です。LinuxやLinuxベースのデバイスから揮発性メモリを取得します。
  • SIFT Workstation
    Ubuntu ベースのフォレンジックツール一式を収めた VMware アプライアンス
  • TestDisk
    削除、破損したパーティション、ファイルの復元、修復ツール
  • plaso
    いろいろなデータからタイムスタンプを抽出する。タイムラインを作成するツール。 以前は、 log2timeline という名称でした。
  • bulk_extractor
    ディスクイメージから高速に情報を探索・収集する
  • dff
    ディスク調査
  • metagoofil
    情報収集
  • pev
    Windows プログラムの簡易解析
  • extundelete
    ファイル復元
    ext ファイルシステム向けのファイル復元ツールです。
    ext3, ext4

フォレンジック用Linux

関連項目