アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

スライド10 「仮想ディスク ボリューム」

暗号化ファイルを、論理ドライブ*1やフォルダにマウントして利用するタイプへの対応です。
Windows 上で論理ドライブとして暗号化ファイルがマウントされている場合には、何も考えずにそのまま dd if=\\.\ドライブ文字: などと指定すればドライブイメージの取得が可能になると思います。*2
NTFS のジャンクションポイントを使いフォルダに暗号化ボリュームをマウントしている場合には、dd の入力パラメータとしてボリューム ID の指定が必要になります。*3
FAU の dd.exe は if= の値としてボリューム ID を指定することができますから、暗号化ファイルのボリューム ID さえ確認できれば取得することが(たぶん)できます。
現在のドライブリストなどを確認する方法については、スライド11で紹介していますので、そちらを参照してください。*4
なお、この暗号化されたファイルをボリュームとして利用する方法は、Linux などでも使われる方法になります。今回、調査している最中にid:wakatonoさんにいろいろと教えていただいたのでこの場をお借りしてお礼申し上げますm(_ _)m
ちょっと今回調べてきれなかったのですが、Mac OS X には FileVault という機能があり、ユーザーフォルダの内容を暗号化できるようです。この暗号化フォルダのイメージを稼働中に取得が可能かテストしてみたいところなのですが...あと Mac OS X には暗号化ディスクイメージの作成機能があるのでこちらも試してみたかったり...と Mac OS X への物欲がまたまたでちゃうわけです...orz

*1:DOSドライブって言うほうがわかりやすい?

*2:例えば USB メモリの暗号化などへ対処するには、ドライブとして認識された状態で、論理ドライブに対してddを実行して複製が可能かを試してみることになると思いますが、これまた色々な実装があるので一概にうまくいくかは試してみないとわかりません

*3:例えば dd if=c:\temp のようにジャンクションポイントとして利用しているフォルダを指定してもうまくイメージを作成できません、単にフォルダ配下のファイルがコピーされます

*4:手元のXP SP2な環境で試したところ、PGP の仮想ディスクをジャンクションポイントを使いマウントしている場合、mountvolコマンドでボリュームIDを確認することはできますが、そのボリュームをどこにマウントしているかは取得できないようで、“マウントポイントなし”と表示されます