アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

スライド5「データ アクセス(稼働中)」

ディスク全体が暗号化されている状態で、その上で稼働中の OS を使いハードディスクのイメージを作成しようとした場合を想定しています。例えば、dd などを使い、稼働中システムのディスクイメージを取得するといった方法になります。この場合、ディスクへのアクセスが行われた段階で、暗号化処理を行っているアプリケーションやドライバにより透過的にデータが復号化され、dd は平文状態でディスクイメージを取得することが可能になります。
この方法は稼働中システムのディスクを複製した場合と同じく、様々な問題を抱えてはいますが、平文の状態でディスクイメージを取得できるメリットがあります。
しかし、逆に稼働中システムから暗号化された状態のディスクイメージを取得することは難しくなります。一般的にはディスクへアクセスしようとした段階で復号化処理が行われてしまい、暗号化された状態のセクタへはアクセスできません。稼働中システムで暗号化された状態のディスクイメージを取得したいケースがもしあれば、特殊なデバイスドライバなどが必要になるかもしれませんが、現状そのようなドライバを持つ取得ツールがあるのかわかりません。どうしてもという場合にはやはり電源を落としたほうが早いと思われます。