アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

コピー手順におけるミスやトラブルからキーポイントを考える

デジタル・データの(正しい)コピー手順とキーポイントを考える際に、過去の失敗から何か学ぶ事ができるのか?と思い整理してみています。

小ネタとしてお話するには良いかもしれませんが、こういった事に注意してください!!と手順書に書いたところで意味がなさそうですね。

ちなみに、自分がやらかした事例も中にはありますが、呑み会などでネタとしてお話されていたものを含みます。

 

  1. 対象と異なる機器の複製を取得した。(つまり別のパソコンだった)
  2. カートリッジに入ったDVD-RAMメディア、A面とB面があるのにA面だけコピーしてB面を取り忘れた。
  3. 電源ケーブルを抜く時、間違えて作業中機器の電源ケーブルを抜いてしまいコピー処理中の機器が落ちた。
  4. ノートパソコンで電源ケーブルが正しく接続されておらず、バッテリ駆動のままだったので途中で電源が落ちた。
  5. コピー途中で省電力モードに入ってしまった。
  6. コピー途中でスクリーンセイバーにより画面がロックされてしまった。(パスワードが分からないので解除できない)
  7. HDDパスワードが設定されているがパスワードが分からない。(つまりアクセスできない)
  8. ノートパソコンにPCMCIAタイプのLANカードを接続してコピー中、カード部分が高熱になりコピー途中で熱暴走が発生。
  9. 外付けUSB-HDDケースが2Tを超えるサイズのHDDに対応しておらず、正しくディスク全体が認識されない。(同様のパターンは複製装置・ライトブロッカーにおいても発生する)
  10. 複製装置の時刻が正しい時刻でなく、ずれていた。(時刻の設定忘れ)
  11. 複製装置のケーブル類を忘れた。
  12. 複製装置でコピーを取得したら、DDイメージファイルがまったく出来ていなかった。(複製装置の不具合)
  13. 複製装置でエラーセクタが大量にあるHDDのコピーを取得したところ、DDイメージファイルがまったく出来ていなかった。(装置の不具合)
  14. HPA・DCO領域があるHDDをコピーしようとして、複製装置でエラーが発生した。(装置の利用者がHPA・DCOを知らなかった)
  15. 複製装置のHDDチェック機能を利用して、コピー先ディスクのファイルシステムが消えた。
  16. IDEハードディスクのピンを曲げた、(IDEケーブルの向きを間違えて差し込んで)折ってしまった。
  17. IDEハードディスクのジャンパーをマスターに変更するのを忘れた。(昔はそういった手順が必要なことがあった)
  18. 2Tを超えるボリュームをツールからマウントし、ファイルを取得したら、Non-Residentのファイルの中身が全てゼロだった。(Residentのデータだけ取れていた)
  19. ネットワーク経由のコピー中に、ネットワーク機器(HUB)が再起動された。
  20. 夜間を利用してのコピー中にバックアップ処理が開始されてしまい、コピーに影響が出た。
  21. ファイルが自動的にアーカイブサーバに退避される仕組みが導入されており、コピーしたファイルがリンクだけで実体ファイルが取れていなかった。
  22. デスクトップPCのケース取り外しの際に、ケースのピンが折れた。
  23. HDDの取り外し作業中、外したネジが足りない、または戻したはずなのに余る。
  24. 取得対象のディスクの選択を間違え、(ライトブロッカーの先にあるHDDを対象とすべきところ)作業PCに内蔵されているディスクのイメージを取得した。
  25. 複製先のHDDをライトブロックした状態でイメージを出力した。(イメージの書き込みは全てブロックされる)
  26. Liveでイメージ取得している最中にWindowsがブルースクリーンになった。(エラーセクタが大量にあるHDDだった)
  27. イメージファイルを取得するコマンドラインで、オプション項目の指定を間違えていた。
  28. イメージファイルを取得する際に入力する項目で、タイプミスしていた。(綴り間違い、Notesメッセージの記入ミス等)
  29. イメージファイルの出力先を間違えた。
  30. イメージファイルの保存先がFAT32なのに、4GB以上のファイルを出力しようとした。
  31. 取得したイメージファイルの中身が全てゼロだった。
  32. 取得したイメージファイルが壊れていた。
  33. 取得したイメージファイルが自動的に暗号化されていた(つまり読めない)。
  34. Liveでのイメージ取得において、対象環境のOSが古すぎるため、最近のツールはエラーになり起動できない。
  35. Liveでのメモリイメージ取得中に、OSがブルースクリーンになった。
  36. Liveでのメモリイメージ取得中に、PCがリセットされた。(ブルースクリーンにならず強制的にハードウェアがリセット)
  37. 論理取得の対象ファイルのアクセス権が無かった。(つまりコピーできない)
  38. 論理取得の対象ファイルがオープンされていた。(つまりロック状態でコピーできない)
  39. BIOS設定画面に入る必要があるのに、BIOSの呼び出しに失敗しWindowsを起動してしまった。(Windowsに限らず、OSを起動してしまうケース)
  40. BIOS設定(起動順序)を変更する必要があるのに、BIOSのパスワードが分からず変更できない。
  41. BIOS設定を元に戻す作業を忘れた。
  42. 変更前のBIOS設定を記録に残すのを忘れた。(元の設定に戻せない)
  43. Secure Boot環境に気が付かず、CD/DVDで起動しようとして起動に失敗した。
  44. 古いMacのフロッピーディスクをWindows用のFDドライブで読み込もうとした。(つまり読めない)
  45. ハードディスクの空気穴がある部分にラベルを貼っていた。
  46. シンクライアントになっている環境で、ローカルのディスク内容だけコピーしたので必要なデータが取れていなかった。
  47. 仮想環境でスナップショットが複数あり、古いスナップショットのデータを取得していた。(最新の情報が取得出来ていない)
  48. DDイメージファイルの順番を間違えて連結しマウントした。(データに不整合が発生する)
  49. DDイメージファイルの名前が全部同じ為、DDイメージを取り違えた。
  50. 取得したイメージファイルを間違えて削除した。

 <10/4追記>

その後、Facebookで他にも、コピー開始後に機器を動かして接触不良になった、HDD取り外し時にネジ穴がすでにつぶれていた、なども教えていただきました。

恐らく、他にも色々な事例があると思うのですが、それらに対して「作業時には注意してください!!」といっても無理があると思いますので、過去の事例を参考にしつつ、正しい手順を組み、ミスが起きないように手順化する必要がありますね。