アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

スライド12 「仮想ディスクへのアクセス」

Windows でのお話になりますが、あるユーザーが暗号化ファイルを F: ドライブとしてマウントしている場合に、RunAS などを使い別のユーザーで起動した CMD.EXE から F: ドライブへのアクセスが可能か?というお話です。*1
最も確実な方法は、暗号化ファイルをマウントしている該当ユーザーで dd.exe なりを実行しイメージを作成することですが、セキュリティ上の理由から一般ユーザーに CMD.EXE の起動やプログラムの実行を許可していない場合があります。*2
この場合、管理者権限を持つユーザーに切り替えて作業する必要がありますが、そもそもそういった作業が想定されていなかったり、管理者ユーザーに切り替える為にログオフすると、暗号化ファイルのマウントが解除されてしまうなど、事前にいろいろと手順を考えておく必要があります。
セキュリティを高めるのはぜひやっていただきたいのですが、インシデント・レスポンスなどで使うツールは管理者権限で実行できるようにぜひ配慮をお願いしますm(_ _)m

*1:もちろんWindowsに限らずUNIXとかでも同じ問題は発生します

*2:イメージの出力先としてUSBを使いたいけどロックされていて使えないとか・・・