アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

スライド8 「EnCase PDEを利用した変換」

暗号化された状態でハードディスクを複製し、dd イメージで保存したとします。(ddイメージは暗号化されたデータが記録されている)
この dd イメージに対してリカバリ処理を実行する方法としては、いったん物理的なハードディスクへ復元してからリカバリ処理を行うか、dd イメージを仮想的なハードディスクとしてシステムへマウントしリカバリ処理を実行する方法が考えられます。
dd イメージを Windows 上でマウントする方法は幾つかありますが、物理ディスクとしてエミュレートする方法として EnCase Physical Disk Emulator (PDE) を利用する方法があります。EnCase PDE を利用すると、dd イメージを物理ディスクのひとつとして Windows で認識することができます。*1
EnCase PDE でマウントした(仮想)物理ディスク(実体は dd イメージ)は、VMware のゲスト OS のディスクとして割り当てることができます。(仮想)物理ディスクを割り当てたゲスト OS を作成し、暗号化ディスクをリカバリするための CD-ROM または FD から起動します。これで、(仮想)物理ディスクに対して、リカバリ処理を実行することができるようになります。当然、平文に戻したデータをディスクへ書き戻す処理が入りますので、書き込み内容を反映(キャッシュ)する仕組みが必要になります。*2
(仮想)物理ディスクでのリカバリ処理が完了した段階で、dd などを使いこのディスクのイメージを取得すれば、平文の状態でディスクイメージを入手することができます。*3
この手法は、EnCase の証拠ファイル形式を dd イメージに変換するときに使う方法だったりもしますが、いずれにせよリカバリ処理と dd イメージの取得には時間が必要となります。(でもこれが終わらないと解析できない・・・)

*1:単にマウントするだけであれば他にもいろいろツールがあります

*2:EnCase PDE にはマウントしたイメージへの書き込みをキャッシュし、擬似的に反映する仕組みがあります

*3:ただし、これまた広く検証したわけではないので実際にリカバリ処理がうまくいくかどうかは試してみないとわかりません、物理ディスクへ戻してからリカバリしたほうが確実かもしれません