アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

仮想的にマウントされているファイルを探す

先日の続き
オープンされているファイルを基準に、ファイルを開いているプロセスを追跡するツールを探していたところ、NirSoftのOpenedFilesViewで可能なことを確認。

OpenedFilesView
http://www.nirsoft.net/utils/opened_files_view.html

このツールを使うと、オープンされているファイルについて、プロセス情報を得ることができるので、例えば TrueCrypt の暗号化ファイルコンテナや VHD ディスクがマウントされている時に、そのプロセスを確認できます。っていうかどちらもシステムになるんですけどね...
さて、このツールを起動すると、とりあえず開かれているファイルの一覧が表示されます。今回の目的からすると、システムプロセス(PID 4)、かつファイルパスがデスクトップとかログオン中のユーザーに関連するフォルダ配下で開いているファイルに注目することになりそうです。
実際にTrueCryptやらVHDディスクをマウントしている状態で OpenedFilesView から確認した画面が以下になります。

この場合には、拡張子が .txt のファイルをシステムプロセスが開いているので、なんとなく疑わしいという雰囲気はありますが、それらしいパスにそれらしい名前で存在するファイルだったりすればわからないかもしれませんね。(標準的なシステムで得られる情報との比較は可能だと思いますが)
かつ、システムが扱っていることはわかりますが、TrueCryptのコンテナであることはやはりここからではわかりません。
とはいえ、揮発性情報のひとつとして、この情報も保存しておいた方がよさそうな雰囲気ですね、HTMLで一括して保存できるようです。