アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

Pagefile.sysの暗号化

Fsutilからページファイルの暗号化が可能ということを昨年末に調べて、その後試してなかったので実際にテスト。
まず、VMware環境上の Windows 7 が作成している PageFile.sys を EnCase でマウントし、中身に可読可能な文字や画像データのリカバリが可能な状態を確認しておきます。設定を有効にした段階で既存のPagefile.sysの内容まで暗号化されるのか、今後のデータが暗号化されるのか...
まずは fsutil で設定(fsutil behavior set EncryptPagingFile 1)を行い再起動し、設定が反映されていることを確認。
再起動してPageFile.sysの暗号化が有効になっている状態で再度画像のリカバリなどを確認してみると、設定前と同じ画像データなどがまだリカバリできたので、Pagefile.sysの暗号化を設定して以降のページアウトされたデータから暗号化されるということみたいですね。実際にページアウトされたものが暗号化されているかの確認方法を思いつかないわけですが....

id:ucq 氏がレジストリ上の該当キーを調べてくれたんですが、下記キーに設定されるということですね。

Pagefile.sysの暗号化
http://d.hatena.ne.jp/ucq/20091228/1262015950

関連する情報がKB950504(http://support.microsoft.com/kb/950504/en-us)にもあります。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem
NtfsEncryptPagingFile値

隣の席な人に、RegDogで上記レジストリキーをチェックし、値が「1」の場合には暗号化されているので検出できるようにプラグインの追加をお願いしちゃいました。