デジタルフォレンジックはどんなことするの?技術内容を伝えます! – デジタル フォレンジック | forensic24 セキュリティ 証拠データ 不正アクセス 情報漏えい対策

データ復旧 データ復旧の技術 デジタルフォレンジック ITお役立ち情報 パソコン(PC) クローン データ保全

デジタルフォレンジックはどんなことするの?技術内容を伝えます!

投稿日:

 「デジタルフォレンジック」という言葉の意味はわかっていても、実際にどんなことを行うのかというイメージはなかなかわきにくいですよね。
今回は、具体的なデジタルフォレンジック作業の内容を記載します!

証拠保全を行うためにまずはクローン作業(イメージ作業)

 

証拠保全を行うために、まず初めに行う作業として、クローン作業もしくはイメージ作業を行います。
クローン作業とイメージ作業はどちらも行う内容としては同じですが、違いとしてはクローン作業の場合は、別HDDに複製を作成し、イメージ作業の場合は、.Raw(dd)や.AFFなどのイメージファイルのデータとして保存します。
この2つの作業の良いところは、HDDのスラックスペース未使用領域も含めたデータを正確に取得することができます。

スラックスペースと未使用領域とは・・・

スラックスペース:データの物理的なサイズから論理的なサイズを引いた余りのスペースのこと

未使用領域:ファイルシステム上でファイルに割り当てられていない領域のこと

これら2つの領域には、過去に存在したデータやその痕跡などが残されている可能性があるため、削除ファイルの復旧や調査を行うには必要不可欠です。

データの解析開始!

1.データ復元

フォレンジック解析ツールを用いて、削除されたデータの復旧および調査を行います。
まずは、削除されたデータの復元を行う方法として、2点ございます。
1点目は、管理情報を元に復旧を行う方法と、もう1点はデータが持つ特徴的な痕跡をとらえて復旧する方法です。

管理情報を元に復旧を行う方法:これはスキャンと呼ばれる手法です。OSがWindowsの場合は、隠しファイルの中に管理情報が記載されているファイルシステムが存在しています。そのファイルシステム内の情報からデータの復旧が可能になります。
しかし、そのファイルシステムの情報内におけるデータ内容の部分に上書きがかかっている場合に関しては、復旧はできない状態です。

特徴的な痕跡からの復旧:これはデータカービングと呼ばれる手法です。先述したファイルシステムの上書きがされていても、未使用領域にデータもしくはデータの一部が残っている場合などに用いることで復元ができる手法です。

2.データ解析

デジタルフォレンジック調査の解析で、主に利用されるのがタイムライン解析文字列検索です。

タイムライン解析:ファイルシステムやログファイルなどのタイムスタンプ情報を元に、調査・解析を行う方法です。

文字列検索:Word,Excel,PDF,mailなどのセクタ情報は特定の文字コードで成り立っています。未使用領域やスラックスペースを対象に文字コード検索を行うことで、過去に削除されたデータの存在痕跡やデータ内容が確認できる可能性があります。

技術は分かったが、デジタルフォレンジックって何ができるの?

上記のように、デジタルフォレンジックでは証拠保全、データ復元・解析を行い、お客様にご満足いただける結果を出します。

具体的にどういう時にデジタルフォレンジック調査を利用するのか知りたい方は・・・
是非こちらの
「デジタルフォレンジックって何?デジタルフォレンジック調査でできることをお伝えします。」
をご覧ください。

今回の記事から、ご不安やご心配な事案、もしくはご相談したいことがあるという方は是非「デジタルフォレンジック24」へ問い合わせください。
皆様の問題解決に真摯に取り組んでまいります!



-データ復旧, データ復旧の技術, デジタルフォレンジック, ITお役立ち情報, パソコン(PC), クローン, データ保全
-, , , , , , , , , ,

執筆者:

関連記事

個人情報漏洩が起きた!?今すぐできる対策とは

ネットショップやオンラインサービス、FacebookやLINEなどのSNSにもアカウント情報の登録をし、個人情報を設定することも増…

続きを読む

退職者によるデータ持ち出し?情報漏洩の対処方法とは?

Contents1 情報漏洩は企業の身近なトラブル2 情報漏洩による損害賠償請求とは?3 情報漏洩のケースとは?3.1 海外支店を…

続きを読む

情報漏洩を防ぐ暗号化とデータ解析の技術「デジタルフォレンジック」

Contents1 情報漏洩を防ぐ暗号化とデータ解析の技術「デジタルフォレンジック」2 暗号化で会社の情報を守る3 情報の暗号化と…

続きを読む

暗号化されたパソコンが故障?データは取り出せるのか!?

  Contents1 暗号化とは?2 「Check Point」で暗号化されたPCが突然故障!?2.1 HDDに物理障…

続きを読む

退職者に消去(初期化)されたデータの調査・復元は可能?

Contents1 退職者に在職中に使用していたPCを初期化(データ消去)された2 どんなメールなら調査・復元することができるのか…

続きを読む