データ収集
目次
事件の現場収集前の危険なデータ
インシデントが発生したとき、最初の直感はしばしばライブシステムを「見回す」ことになる。.
無計画なクリック、ルートログイン、ファイルコピーによって、タイムスタンプ、ログ、未割り当て領域が、クリーンな状態を記録する前に変更される可能性がある。.
データ収集はこの問題を解決する。.
管理された方法でデータを収集することに重点を置いているため、最初の行動から証拠としての完全性を保つことができる。.
法医学的に健全な取得の基礎
フォレンジックにおけるデータ取得とは、単にファイルをコピーするだけではない。.
これは、データを収集し、それを変更から保護し、裁判所または内部審査に、すべてのステップをどのように処理したかを示す、文書化されたプロセスを定義するものである。.
主な目的
ソースデバイスの変更を最小限に抑える
スコープが許す限り、関連データを収集する。
収集したデータがソースと同一であることを証明する
他の試験官が検証できる再現可能なステップを提供する。
取得の範囲とレベル
治験責任医師は、症例、時間、リスクなどに基づいて、どのレベルの検査を受けるかを選択する。.
一般的なレベル:
フィジカル(ビットレベル)イメージング: セクター別 ディスクまたはパーティション全体のコピー
論理的買収ファイル、フォルダ、パーティションをファイルシステムレベルでコピー。
ターゲット・コレクションログ、Eメール保存、ブラウザデータなど、特定のアーティファクトを重点的にコピーします。
物理的なイメージングを深層部に使用する 分析とリカバリー.
時間やアクセス上の制約でフルイメージングが制限される場合は、論理的または的を絞った方法を選択する。.
ハッシュと検証
暗号ハッシュは、コピーがそのソースと一致することを証明する。.
取得中に、SHA-256のようなハッシュを計算する:
オリジナルのデバイスまたは画像
取得された画像またはエクスポートされた証拠セット
そして値を比較する。.
それらが一致すれば、収集したデータが取得から分析、報告まで変わっていないことを示すことができる。.
管理の連鎖と文書化
技術的な完全性だけでは十分ではない。.
誰がデバイスにアクセスしたのか、いつデータを収集したのか、どのツールを使用したのか、証拠はどこに移動したのかを文書化しなければならない。.
基本的なChain of Custodyログには、以下が含まれる:
症例識別子と装置の説明
買収および移籍の日時
ハンドラーの氏名と署名
キーとなる証拠ファイルのハッシュ値
これらの記録は、画像やエクスポートと一緒に保管し、後のレビューをサポートします。.
デバイスを超えた獲得技術
機器によって必要な捕捉方法は異なる。.
ノートパソコン、サーバー、クラウドサービス、モバイルハードウェアはすべて、独自の制約がある。.
ディスクとボリュームのイメージング
デスクトップとサーバー用、, ディスクイメージング が主要な方法であることに変わりはない。.
よくあることだ:
状況が許せば、システムの電源を落とす。.
ドライブを取り外し、フォレンジック・ワークステーションに接続する。.
ハードウェア書き込みブロッカーを使用して、ソースディスクへの書き込みを防止する。.
ビットレベルの画像を作成し、撮影中または撮影後にハッシュを計算する。.
そして、オリジナルのディスクではなく、イメージに対して分析を実行する。.
このアプローチは、ツールがクラッシュしたり、アナリストがミスを犯したとしても、証拠を保護する。.
稼働中のシステムからのライブ取得
本番サーバーや揮発性の証拠を保持するデバイスなど、システムの電源を落とせないことがある。.
その後、ライブで獲得する。.
代表的な行動には以下のようなものがある:
捕獲 RAM メモリ取得ツール付き
実行中のプロセスリスト、アクティブな接続、揮発性ログの収集
OSが動作している間に、可能な限り障害なく論理ボリュームをイメージ化する。
ライブ獲得は、必然的にシステムをある程度変えてしまう。.
あなたはそれらの変更を文書化し、なぜライブ収集が証拠価値とリスクの最適なバランスを提供したのかを説明する。.
ネットワークとクラウド・コレクション
現代の調査はローカルディスクの枠を超えている。.
データは、クラウドストレージ、SaaSプラットフォーム、または中央ログコレクターに存在する可能性がある。.
このような場合、あなたは
プラットフォームAPIを使用して、ログ、メールボックスの内容、またはファイル履歴をエクスポートします。
法的に許可されている場合、タップまたはスパンポートからネットワークトラフィックをキャプチャする。
タイムスタンプ、アカウント識別子、IPアドレスなどのプロバイダのメタデータを保存する。
エクスポートされたアーカイブは、エビデンスオブジェクトとして扱われ、ローカルイメージと同様にハッシュ化されます。.
反復可能な収集のためのソフトウェア・ワークフロー
手作業はエラーのリスクを高める。.
よく設計された獲得ツールは、毎回一貫したプロセスを踏むのに役立つ。.
以下のようなツールを使った典型的なワークフロー EOS SECURE データ収集 こんな感じだろうか:
スタート EOS SECURE データ収集 ハード化されたワークステーション上で。.
接続されたディスク、ボリューム、リモートソースを明確なデバイスリストで識別。.
ターゲットを選択し、アクイジション・タイプ(物理イメージ、論理セット、ターゲット・プロファイル)を選択する。.
ハッシュオプションとエビデンスのデスティネーションパスを設定する。.
ツールがログ、ハッシュ、タイムスタンプを記録している間にアクイジションを実行する。.
このツールは、ケース文書に添付できるレポートを作成します。.
後で繰り返したり説明したりするのが大変になるような、その場しのぎのコマンドを避けることができる。.
Windowsディスク取得の推奨手順
以下の順序は、Windowsディスクを証拠として入手する際の実践的な手順の概略である。.
準備
ライブデータが不要な場合は、対象システムの電源を切る。.
ディスクを慎重に取り出し、ケース情報を記載したラベルを貼る。.
ハードウェア書き込みブロッカーを通してフォレンジック・ワークステーションに接続する。.
イメージ用に十分な空き容量のある専用の証拠ドライブを用意する。.
取得と検証
打ち上げ EOS SECURE データ収集 分析マシンから。.
書き込みブロッカーの後ろにあるソースディスクを選択する。.
物理イメージモードを選択し、保存先として証拠ドライブを指定します。.
取得時にSHA-256ハッシュを有効にする。.
プロセスを開始し、読み取りエラーや異常を監視する。.
完了後、計算されたハッシュが記録されたソース・ハッシュと一致することを検証する。.
ソースディスクを封印してラベルを貼り、分析中は取得した画像のみで作業する。.
結論コレクションを弁護可能な証拠に変える
データ収集は、“デバイス上のデータ ”と “捜査官が弁護できる証拠 ”のギャップを埋める。”
強力なプロセスは完全性を維持し、優れたツールはリスクとヒューマンエラーを減らす。.
適切な取得レベルを選択し、書き込みブロッカーとハッシュを使用し、すべてのステップを文書化することで、技術的および法的な精査に耐えるコレクションを作成することができます。.
などのソリューションがある。 EOS SECURE データ収集 そして、多くのケースでそのプロセスを自信を持って繰り返すことができるようになる。.
もしあなたが 失われたデータの復元, Magic Data Recovery リリース アマジックソフト はプロフェッショナルなデータ復元ソフトウェアです。非常にお勧めです。.
よくあるご質問
データ取得の意味とは?
データ取得の例とは?
データ収集の4つのタイプとは?
データ収集の仕事とは?
データ取得の3つのステップとは?
データ収集の別名とは?
データ収集の方法は?
データ取得は技術か?
