FTK Imager (フォレンジックツール)

投稿者:

💻 概要と機能

  • 定義: FTK Imagerは、AccessDataから提供されている無料のデジタル・フォレンジックツール。
  • 機能: 証拠の保全を確実に行いながら、物理デバイス(ソースデバイス)のビットごとのコピーであるフォレンジック・イメージを作成する。これにより、オリジナルの証拠に変更を加えることなく分析が可能になる。

🛡️ 証拠の準備と検証(Pre-Hash)

  1. 書き込みブロック: ソースデバイスに対する変更を防ぐため、適切な書き込みブロッカー(ハードウェアまたはソフトウェア)を使用してデバイスを接続する。
  2. ハッシュ値の取得(検証): イメージ 作成を開始する前に、デバイスのハッシュ 値(MD5やSHA1)を計算する。この値はデバイスの「開始値」として記録され、イメージング 後にデバイスが変更されていないことを検証するために使用される。

🖼️ フォレンジック・イメージの作成手順

  1. 操作開始: FTK Imagerのメニューから「File」→「Create Disk Image」を選択する。
  2. ソースの選択:イメージ取得の種類を選択する。
    • Physical Drive(物理ドライブ):デバイス 全体の全 ビットデータ(削除済み、未割り当て領域を含む)を取得するために選択する。
    • Logical Drive(論理ドライブ)、Image File(イメージファイル)、Contents of a Folder(フォルダーの内容)などのオプションもある。
  3. ドライブの選択: 表示された物理ドライブのリストから、目的のソースデバイスを選択する。
  4. イメージの追加と形式選択:
    • 「Add」ボタンをクリックして、保存先とイメージ形式を指定する。
    • 一般的な形式としては、Raw (dd)(非圧縮)、E01(EnCase形式、圧縮やヘッダー情報を含む)、AFFなどがある。
  5. 詳細情報の入力: Case Number(ケース番号)、Evidence Number(証拠番号)、Unique Description(一意な説明)、Notes(メモ)など、調査に必要な情報を入力する。
  6. 設定と実行:
    • Image Fragmentation Size(イメージ断片化サイズ)やCompression(圧縮)レベルなどを設定する(ddは非圧縮)。
    • 「Verify images after they are created」(作成後にイメージを検証する)にチェックを入れることが推奨される。
    • 「Start」ボタンをクリックしてイメージ作成を開始する。

✅ 事後検証(Post-Hash)

  • イメージ 作成が完了すると、経過時間が表示され、自動的に作成されたイメージのハッシュ値が計算される。計算されたハッシュ値(Computed Hash)と事前に記録したソースデバイスのハッシュ値(Stored/Report Hash)が一致することで、イメージがソースデバイスと同一であり、改ざんされていないことを検証できる。