2010-07-12
■SIFT に接続するデバイスをライトブロックするには?
SIFT は VMware 環境上のゲスト OS として動作します。例えば、あるハードディスク上のファイルを誤って消してしまい、誤って削除したファイルを、SIFT 上の TSK なりを使って復元したいとします。この場合、ハードディスクを外付けの USB ケースなどに収納し、ホスト OS に接続する形になると思いますが、FAT/NTFS をそのまま Windows に接続した場合、Windows は認識可能なファイルシステムなのでマウントしてしまいます。マウントして Windows で認識可能な状態になるのは良いですが、Windows の内部的な処理により書き込みが発生すると、復元したい削除ファイルが上書きされてしまう可能性があり嬉しくありません。(自分は触っていないつもりでも、OS やウイルス対策のアプリケーションなどがバックグラウンドで自動的にアクセスしてしまいます)
Windows にはデバイスを読み取り専用でマウントする!という簡単な方法がないので、フォレンジック調査でよく使う方法としては、ライトブロッカーと呼ばれる書き込み禁止装置を介して Windows に接続する方法になります。しかし、書き込み禁止装置なんて持ってないんですけど?!という場合も多いかと思います。
ハードウェア装置を利用して書き込みを禁止するのではなく、ソフトウェアベースで書き込みを禁止できるツールもあるのですが、残念ながら商用製品が一般的で、無償で使えるものは発見できていません。(法執行機関向けには、無償で提供されている Windows 用のライトブロックソフトウェアがあるみたいなんですけど、民間では入手できないのでどんなものかわかんないんですよねぇ)
余談になりますが、ガイダンスソフトウェア社がTableau社を買収しましたので、EnCase と連動するライトブロッカー装置は今後 Tableau 社のラインナップ製品が主になるようです。手元にないので試せてませんけど、この辺りの製品ですね。
http://www.tableau.com/index.php?pageid=products&category=forensic_bridges
まぁお値段的には数万円とかはしますが、1台くらいはあると、書き込みを禁止しつつアクセスしたい!とかのケースで便利かもしれません。
いずれにしても、ホスト OS の Windows にデバイスを接続する前に、何らかの書き込み禁止措置を行なっておかないと、せっかく SIFT を使って削除ファイルを復元しようとしても、ホスト OS へのデバイス接続で削除ファイルを上書きされてしまっては意味がないので注意が必要です。
ホスト側の OS を Windows 以外にすればいいんぢゃね?!とか、DDでイメージ取って処理すればいいんぢゃね!?、などのお話もありますが、手元が Windows なので、Windows でとりあえず書き込み禁止を行なってみます。
■ホストのWindowsでUSBへの書き込みを禁止した効果は?
まずホストOS側の Windows XP で USB デバイスへの書き込みを禁止してみます。下記レジストリキーの値を変更して、書き込みを禁止します。
キー:HKLM\System\CurrentControlSet\Control\StorageDevicePolicies
値:WriteProtect(DWORD) = 1
WriteProtect の値が「1」の場合には、Windows から USB デバイスに書き込みを行なおうとすると、「このメディアは書き込み禁止になっています。」といったエラーメッセージが表示され、書き込みできない状態になります。
ホスト側で USB デバイスへの書き込みを禁止した後、VMware を使い SIFT を起動します。SIFT の起動後、VMメニューから USB デバイスをホスト側から切り離し、USB デバイスをゲスト OS の SIFT へと接続します。
ゲスト OS の SIFT に USB メモリの制御が移った後、SIFT 側から USB デバイスを読み書き可能な状態でマウントし、書き込みが可能かを確認してみます。当然といえば当然なのですが、普通に書けますね..ホスト側のWindowsからすれば、該当デバイスは取り外された状態ですから制御しようが無いですよね。*1
SIFT 上でデバイスをマウントする際に読み取り専用でマウントすれば OK ですが、ホスト側の Windows で USB デバイスへの書き込みを禁止していても駄目ってことは、操作手順的には覚えておいた良いかもしれません。ライトブロック装置を使っていれば物理的に書き込みが禁止されるので安心ですが。
あと、上記のレジストリキーにより書き込みが禁止される USB デバイスは、ブロック ストレージ デバイスだけで、非ブロック ストレージ デバイスは対象にならないという記述がマイクロソフト社の資料にあります。
StorageDevicePolicies\WriteProtect
■ソフトウェアのライトブロッカー製品とゲストOS
Windows のレジストリキーにより USB デバイスの書き込みを制御するのではなく、商用のライトブロックソフトウェアで書き込み禁止を設定した後に、ゲスト OS へ USB デバイスを接続してから USB デバイスへのの書き込みが可能かも気になったのでテストしてみました。
ガイダンスソフトウェア社は EnCase 用の追加モジュールとして FastBloc SE というソフトウェアベースのライトブロッカーを(有償)提供しています。FastBloc SE を使い USB デバイスをライトブロックにした状態で、SIFT に USB の制御を移行して書き込みを行なってみましたが、やはり Windows からデバイスが取り外されてしまう為か、デバイスに対する書き込みが可能になりますね。VMware 環境などを利用しながら、外付け USB デバイスなどを取り扱う場合には、物理的な装置によるライトブロックをかけた方が安全ですね。
