アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

デバイスドライバからの仮想ボリュームを確認

引き続き、仮想的にマウントされている論理ボリュームの識別方法について。
とりあえず、稼働中システム上でロードされているデバイスドライバを確認する方法は幾つかありますが、NirSoftの DriverView を使うと、マイクロソフト以外のドライバを表示するオプション項目があり、これはこれでなかなか便利そうです。
Hide Microsoft Drivers をチェックすると、マイクロソフト“以外”のドライバが表示されるので、例えば TrueCrypt のドライバなどを下記図のように簡単にチェックすることができます。(名前とか変更されていなければのお話ですけど)

TrueCryptの利用を疑っているケースでは名前から識別できる場合もありそうですが、未知のツールを使っているケースなどでは、このリストから疑わしいドライバ(って、そもそもどんなもの?)があるか確認することになりそうです。と、書いてはみたものの現実的な現場対応を考えるとかなり難しい気がしますね。
仮にデバイスドライバが存在しているとわかっても、そのドライバなりが暗号化ファイルコンテナを論理ボリュームとしてマウントしているかどうかは識別できません。どちらかというと、昨日のオープンファイルからドライバやプロセスなりを確認する手順のほうが確認しやすかもしれませんね。