ナレッジ | フォーカスシステムズサイバーフォレンジックセンター

メールでのお問い合わせ
お問い合わせはこちら
東京証券取引所 プライバシーマーク ISMS JUSE

ナレッジ

ホーム > ナレッジ > Articles > FTKをインストールしてみよう
«  |  Articles トップへ  |  »

FTK ImagerでHDDを保全してみよう

FTK Imagerでは、削除ファイルや隠しファイルを含めたデータの簡易閲覧、またストレージ全体から個別のフォルダの保全(イメージ化)といった機能が備わっています。

 

第2話となる今回は、FTK Imager(バージョン4.1.1.1)を用いたストレージ全体の保全手順を紹介します。

 

保全手順

1.「File」>「Create Disk Image」を選択します。

 

2.保全対象となるエビデンスの種類を選択し、「次へ」をクリックします。

・Physical Drive:USBやSAS/SATAなど、物理的に接続されたドライブ
・Logical Drive:Windowsにマウントされている論理ドライブ
・Image File:イメージファイル
・Contents of a Folder:フォルダ(削除データや未割当領域を除く)
・Fernico Device:CD/DVD

 

本記事ではPhysical Driveを選択します。

 

3.プルダウンメニューから保全対象となる物理ドライブを選択し、「Finish」をクリックします。

※上図のぼかし箇所には物理ドライブのモデル番号が表示されます。

 

4.作成するイメージファイルの設定を行います。「Add」をクリックします。


5.作成するイメージファイルの形式を選択し、「次へ」をクリックします。

 

6.(任意で)エビデンスに関する補足情報を入力し、「次へ」をクリックします。

 

7. 「Browse」をクリックし、作成するイメージファイルの保存先を設定します。

 

8.「Image Filename」に、作成するイメージファイルのファイル名を入力します。拡張子は入力しません。

  • ・Image Fragment Size:「Raw(dd)」「E01」「AFF」形式でイメージファイルを作成する場合、イメージファイルを分割することが出来、分割される1ファイルあたりの容量をMB単位で設定することができます。イメージファイルを分割せずに作成する場合は、”0”を入力します。
  • ・Compression:「SMART」「E01」「AFF」形式でイメージファイルを作成する場合、イメージファイルの容量を圧縮して作成することが出来ます。0から9までの10段階で、数字が大きくなるほど圧縮率も高くなりますが、イメージファイルの作成にかかる時間も増える場合があります。
  • ・Use AD Encryption:作成するイメージファイルを暗号化することが出来ます。チェックを付けた状態で「Finish」をクリックすると設定画面が表示されます。暗号化は任意のパスワード、もしくは証明書ファイル(.pfx、.p12、.pem)を用いて行います。

 

9.設定が完了したら「Finish」をクリックします。

 

10.(任意で)下記オプションを設定します。

 

  • ・Verify images after they are created:イメージファイル作成後にハッシュ検証を行い、保全が正常に完了したことを検証します。
  • ・Precalculate Progress Statistics:イメージファイル作成中に、完了までの残り時間を表示します。
  • ・Create directory listings of all files in the image after they are created:イメージファイル作成後に、イメージファイル内の全てのファイルのリストをcsv形式で作成します。csvファイルはイメージファイルの保存先に作成されます。

 

11.「Start」をクリックするとイメージファイルの作成が始まります。

 

12.イメージファイル作成後、「Verify images after they are created」にチェックを付けていた場合、ハッシュ値の検証が行われます。「Verify result」が「Match」になっていれば、保全は正常に行われました。

 

 

イメージファイル作成に関するログファイル

作成されたイメージファイルと同じディレクトリに、同じ名前のテキストファイルが作成されます。このテキストファイルには、手順6で入力したエビデンスに関する情報や、算出されたハッシュ値、イメージファイル作成の開始/終了日時などが記載されています。