ある日、突然やってきたシステム管理者に「君の暗号化ボリュームをいまから複製するからね」とか言われると、何も悪いことをしてなかったとしても良い気分はしませんよね。 できればそういった PC の利用者や社内の雰囲気、誤解による二次被害といったことへ…

暗号化されたファイルを復号化し、暗号化されている状態のファイルと平文の状態とでコンペアをとったり、ハッシュ値を計算すると当然値が一致しませんよね〜というお話です。これは一致しないのが通常ですから、どれを復号化して平文のデータとしたのかを記…

Windows でのお話になりますが、あるユーザーが暗号化ファイルを F: ドライブとしてマウントしている場合に、RunAS などを使い別のユーザーで起動した CMD.EXE から F: ドライブへのアクセスが可能か？というお話です。*1 最も確実な方法は、暗号化ファイル…

暗号化ファイルを、論理ドライブ*1やフォルダにマウントして利用するタイプへの対応です。 Windows 上で論理ドライブとして暗号化ファイルがマウントされている場合には、何も考えずにそのまま dd if=\\.\ドライブ文字: などと指定すればドライブイメージの…

暗号化された状態でハードディスクを複製し、dd イメージで保存したとします。(ddイメージは暗号化されたデータが記録されている) この dd イメージに対してリカバリ処理を実行する方法としては、いったん物理的なハードディスクへ復元してからリカバリ処理…

ディスク全体が暗号化されている環境で、オフラインでリカバリ（復号化）処理を行った後、平文の状態でイメージを作成する方法について示した図になります。 リカバリの方法や手順は暗号化ツールにより異なりますが、例えば PGP Whole Disk Encryption のリ…

ハードディスク全体が暗号化された状態で、Forensic Acquisition Utilities(FAU)に含まれるdd.exeを使い、物理ディスク0(\\.\PhysicalDrive0)を複製している状態を示した図になります。 この場合、dd.exe の実行ログと取得したディスクイメージのハッシュ値…

ディスク全体が暗号化されている状態で、その上で稼働中の OS を使いハードディスクのイメージを作成しようとした場合を想定しています。例えば、dd などを使い、稼働中システムのディスクイメージを取得するといった方法になります。この場合、ディスクへの…

ディスク全体での暗号化を考慮しない場合、通常は黄色い項目「起動・複製・確認」で利用するツールに注意を払えばよいわけですが、ディスク全体が暗号化されている場合にはリカバリ処理「復号化」に使うツールにもフォレンジック的な視点を持つ必要がありま…

このスライドの二つの図では、複製元はすでに電源が落とされ、オフラインで複製を作成することを想定しています。 (上段の図)ハードディスク全体が暗号化されている場合、このハードディスクを KingDEMI のような複製装置で複製した場合、暗号化されたディス…

2005年9月5日に開催された、第二回 調査技術ゼミ『 暗号化とフォレンジック調査 』の PDF 資料をネットエージェントの Web で公開しています。 ・ハードディスクパスワード ・フォレンジック・イメージ作成の手順 http://forensic.netagent.co.jp/lecture/in…