アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

スライド6 「FAU利用時(稼働中)」

ハードディスク全体が暗号化された状態で、Forensic Acquisition Utilities(FAU)に含まれるdd.exeを使い、物理ディスク0(\\.\PhysicalDrive0)を複製している状態を示した図になります。
この場合、dd.exe の実行ログと取得したディスクイメージのハッシュ値を記録に残すことが可能です。しかし、複製元となった(暗号化されている)ディスクのハッシュ値は OS が稼働中であるためハッシュ値を計算しても常に変化してしまいます。
全ての暗号化アプリケーションで試したわけではありませんので、使われている暗号化のアプリケーションによっては、この方法ではうまく平文イメージが取得できない可能性もあります。私が愛用している PGP はこの方法でイメージ作成が可能性ですから、何かおかしな動きがあったときても(システムを停止することなく複製を作成し)調べることが可能です。
暗号化処理は行いたい、システムは停止したくない、でも不正アクセス調査やフォレンジック調査はしたい!という場合に備えて、せめて稼働中に複製が取得可能かを事前に検証しておいたほうがいいですよ。
暗号化のアプリケーションは多数存在するので、「調査できる?」と聞かれても検証してみないと実際のところはわかりません...*1

*1:ご質問としてはよくでるのですが、全ての環境やアプリケーションでテストしているわけではないので大抵は「わかりません」という回答になってしまいます