誤ってファイルを削除したり、怪しい行動を調査するのに削除ファイル一覧を確認したいと思ったことはないでしょうか?
今回は、WindowsでAutoSpyを用いたファイルの復元方法について紹介します。
はじめに
一見存在していないように見えるファイル一覧でも、ディスク内には存在した痕跡が残されている場合があります。抽出したファイルは、普通に運用可能です。
ここでは、フォレンジック調査でも用いられる2つのツールを用いて、ファイルの復元方法について説明します。
調査用ディスクイメージ作成
FTK Imagerというツールを用いて、現場保存として調査用に対象ドライブのイメージファイルを作成します。
検証用にドライブを2つ搭載したマシンを用意し、セカンドドライブを利用しました。
セカンドドライブには、ファイルが1つのみ存在し、ごみ箱も空です。
- FTK Imagerを起動します。
- File – Create Disk Imageを選択します。
- Physical Drive を選択し、次へをクリックします。
- ここではセカンドドライブであるPHISYCALDRIVE1を選択し、Finishをクリックします。
- Addをクリックし、タイプにE01を選択。次へをクリックします。
- 任意の調査情報を入れて、次へをクリックします。
- 出力先フォルダとファイル名(ex. newImage)を指定し、Finishをクリックします。
- Startをクリックすると、イメージの作成が開始されます。
削除ファイルの確認
削除ファイルの確認・復元には、AutoSpyというツールを利用します。
- AutoSpyを起動します。
- 新規ケースを作成をクリックします。
- ケース名とベースディレクトリを指定し、次へをクリックします。
- 付加情報を任意で入力し、終了をクリックすると、解析用のデータベースが作成されます。
- データソース選択画面で、イメージファイルを選択し、次へをクリックします。
- Pathに先ほど作成した解析イメージファイルnewImage.E01を指定し、次へをクリックします。
- インジェストモジュールの設定で、次へをクリックすると解析が始まります。
- 解析が完了したら、終了をクリックします。
左ペインのデータソース–newImage–vol6(Eパーティションに相当)をクリックすると、xxx.txtと何やら怪しげなファイルが存在していることがわかります。
また、ビュー–削除されたファイル–すべてを覗くとそのファイルがリストに存在します。これが、実機では削除されて確認できなかったファイルです。
削除ファイルの復元
では、AutoSpyを用いて削除ファイルを復元してみます。
- ビュー–削除されたファイル–すべてから対象のファイルを右クリックし、ファイルを抽出をクリックします。
- 任意の名前を付けて保存します。
保存したファイルを実際に開いて中身を確認してみましょう。
まとめ
いつも確実に復元できるわけではないですが、今回の様な手段を知っていれば、いざというときに役立つかと思われます。
また、周囲にも復元できることを周知しておけば、一定の抑止力にも成り得るのではないでしょうか。
以上、ファイルの復元方法について紹介しました。
コメント