ナレッジ | フォーカスシステムズサイバーフォレンジックセンター

お問い合わせはこちら
東京証券取引所 プライバシーマーク ISMS JUSE

ナレッジ

ホーム > ナレッジ > Documents > FTKによるVSSの解析
«  |  Documents トップへ  |  »

FTKによるVSSの解析

VSSの概要

VSS(Volume Shadow Copy Service)は、Windowsに搭載されているバックアップ機能(システム復元)で、ドライブごとに差分バックアップを取ります。
バックアップファイルのリストについてはコマンドプロンプトでvssadmin list shadowsコマンドを実行することによって確認することができます。
しかし、そのバックアップファイルの中身はエビデンス内の変更箇所をまとめて一つのファイルにしたものにすぎず、解析には専用のツールが必要となります。

 

FTKによるバックアップファイルの解析

FTK(Forensic ToolKit) では、VSCに記録されている過去のファイルに対してフィルタリングやエクスポートなどの操作が可能となります。
特にイベントログでは、あらかじめ決められているログのサイズを超えてしまうと古いログから削除されてしまい、古いログに重要な情報が存在していたとしても、その情報を確認することは困難でした。
FTKを使うことによりバックアップファイルから現存するイベントログには残されていないログの情報や削除済みのファイルを復元することが可能です。

以下では実際にFTKを使ってそのバックアップファイルを解析する方法をご紹介致します。

 

FTKでの取り込み

まずFTKのデータベースマネージャで新たなケースを作成します。Manage Evidenceウィンドウのaddでエビデンスを追加後、Choose Restore Pointsを選択します。

vss_setting01_ManageEvidence

Select Restore PointsウィンドウのChoose Restore Pointsでマウントする復元ポイントを選択します。復元ポイントはチェックボックスとなっており複数選択することが可能です。

vss_setting02_SelectRestorePoints_1

Restore point expansionでは復元ポイントのデータの取り込み方をプルダウンで選択します。

vss_setting02_SelectRestorePoints_2

プルダウンの選択項目として以下の3つがあります。
・Latest to oldest w/ deltas (Latest full, others as deltas)
・Oldest to latest w/ deltas (Oldest full, others as deltas)
・Full (All added as full file systems)

デフォルトではLatest to oldest w/ deltas (Latest full, others as deltas) が選択されています。
これらの設定が完了し、Manage EvidenceウィンドウでOKを押すとエビデンスの追加が開始されます。
エビデンスの追加後、FTKではExplorerタブにおいて以下のようにバックアップファイルが取り込まれていることを確認することができます。

vss_result01_Explorer1

Explorerタブでは、バックアップ時点のエビデンスの状況や状態をツリー構造で表示してくれます。
今回の設定では、リストアポイントとして2015/6/10と2015/7/7、そしてCurrentを選択し、データの取り方はLatest to Oldest w/ deltas(Latest full, others deltas)を選択しました。
そのため、Currentではすべてのファイルを格納しており、その下の2つのDeltasから始まるものについては、フォルダ名に書かれている期間のファイルの差分のみを格納しています。
上記の手順によって、FTK上でバックアップファイルを解析することが可能となります。

 

バックアップファイルのデータの閲覧

バックアップファイルからは、現在HDDに保存されているデータからは取り出すことのできないデータを取り出すことが可能です。 特に、アプリケーションログなどの重要なログ情報は、イベントログのサイズが最大値に達したとき最も古いイベントから必要に応じてイベントを上書きするという設定がデフォルトでなされているため、古いイベントログは消去されてしまいます。古いイベントログを取得する際にはFTKが有効です。

[Current]において、Applicationに関するイベントログ(Application.evtx)を見ると、一番古いログの記録は2014/10/31のものとなっており、それ以前のイベントログについては確認することはできません。

Applicationlog_current

しかし、バックアップファイルの[Deltas 201507-07T09:02:28 back to 2015-06-10T06:34:52]において、Applicationに関するイベントログ(Application.evtx)を見ると、[Current]よりも古いイベントログを確認することができます。

Applicationlog_20150610-20150707

イベントログ以外にも、現在では削除されているファイルをバックアップファイルから確認することも可能です。

 

注意点

解析対象PCにおいて、あらかじめシステムの保護の設定を有効にしてVSSでバックアップファイルが作成されるように設定しておく必要があります。 コントロールパネルからシステムとセキュリティを選択し、システムの画面中にあるシステムの保護を選択します。このシステムのプロパティの「保護設定」で保護を有効にしたドライブに対してバックアップが作成されます。