Linuxコンピュータからディスクイメージを取得するには?

Linuxコンピュータからディスクイメージを取得するには?

コンピュータフォレンジックの場合、(現場では取り外せない)被疑者のコンピュータがLinuxシステムであれば、次のように直接使用できるか?DDまたはdcfldd彼のコンピュータにディスクイメージを取得しますか?それとも、既存のオペレーティングシステムの上にHelix、Penguin sleuth、FFCUなどのフォレンジックライブCDが必要ですか?

答え1

次のコマンドを実行するとき

# dd if=/dev/sda of=/path/to/external/medium/file.img

ライブシステムでの作業中に別のOSで起動してそこからイメージを作成すると、発生しないいくつかの問題が発生します。

  1. ディスク全体をイメージ化する場合は、次のものが含まれます。ブートローダーそしてパーティションテーブル。これは、画像に対して法医学/修復を実行しようとすると邪魔になります。

    実際に望むのは、各ファイルシステムを独立してミラーリングすることです。

    # dd if=/dev/sda1 of=/path/to/external/medium/filesystem1.img
    # dd if=/dev/sda2 of=/path/to/external/medium/filesystem2.img
    ...etc...
    

    これにより、ファイルシステムを簡単にマウントできます。

    # mount -oloop,ro filesystem1.img /mnt/fs1
    

    mount一部のLinuxでは、rootとして完了をマークします。循環装置ロックされているため、一般ユーザーは使用できません。 )

  2. リアルタイムでマウントされたファイルシステムのスナップショットを撮るため、後でマウントするときに実際にコンピュータを再起動することと変わりはありません。パーティションは「汚い, 'エラーが発生し、損傷なしでインストールするのは困難です。

  3. あなたは疑わしい機械を使用していますdd(1)。誰かがあなたに何かを隠そうとした場合、その人はそれを秘密にまたは悪意を持って提供している可能性がありますdd(1)

今こう言いましたが、いくつかありますいいねオンライン複製の理由。最善の理由は、システムが何らかの形式のファイルシステムを使用しているか、フルディスク暗号化、再起動すると、マウントされたボリュームの復号化キーが削除されます。

ddただし、これは保存されている暗号化されたデータのコピーのみを提供するため、作業に適したツールではありません。定期的にバックアップする方が良いです。例えば、

# tar -cvJf --exclude={'/proc/*','/sys/*','/tmp/*'} \
  /path/to/external/medium/everything.tar.xz /

これにより、隠しパーティションなどは見つかりませんが、少なくともオペレーティングシステムがファイルシステムのルートから直接アクセスできるすべてのファイルの復号化を強制します。

答え2

法医学調査では、潜在的に敵対的なシステムからデータを検索し、検索されたデータが本当であるという強力な証拠を提供する必要があります。ライブマシンからディスクイメージを取得することは、両方の側面で恐ろしいことです。

システムソフトウェアは、あなたに嘘をつき、あなたにない資格情報が提示されたときにのみ「興味深い」データを提供するようにプログラムされたいくつかの非標準ソフトウェアであるかもしれません。たとえば、物理ハードウェアで偽装された仮想マシンと対話できます。実際のデータが報告されないように、システム実行可能ファイルまたはカーネルが変更された可能性があります。これは実際のデータが必要なため、お客様に問題があると同時に法的手続きにおいても問題です。なぜなら、容疑者の弁護士があなたが捕まったことが本物であることを証明できないことを証明するからです。

フォレンジックの一般的な手順は、記憶媒体を切断し、それを正確に見つけることができるソフトウェアを実行しているノートブックに接続することです。

また、ddこれは間違ったツールです。入力全体を確実にコピーしません。。 (パイプではなくブロックデバイスから読み取る場合は機能しますが、どのレベルの自信を持ってそれを証明したのか幸運です。)少なくとも、またはdcfldd少なくともなどの適切なツールを使用してくださいcat

コンピュータで実行されているソフトウェアも信頼できないだけでなく、ハードウェアも信頼できません。したがって、被疑者のコンピュータから自分のメディアを起動しようとするのは安全ではありません。たとえば、オペレーティングシステムは検出できませんが、破損したデータを返すハイパーバイザーで実行できます。自分のコンピュータをインポートしてハードドライブを接続する必要があります。

容疑者のコンピュータに文章を書かないことも重要です。したがって、標準的な手順は、ディスクに書き込まれないプロトコルレベル(USBストレージプロトコルなど)で実行される特別なハードウェアコンポーネントである書き込みブロッカーを介してハードドライブを接続することです。その後、スクラップされたコンテンツを参照コピー(可能であれば物理的な1回の記録メディア、決して書き込まないハードドライブ)として保存し、直接使用せずにセカンダリコピーの操作を実行するためにのみ使用します。

ディスク全体のイメージをキャプチャし、そこからファイルシステムなどを再構築する方が良いでしょう。ボリュームを組み立てたり、ファイルシステムをマウント(読み取り専用でも!)する簡単な操作で、ダーティビットの設定、最後の使用日の更新、ログの再生などを変更できます。サポートされていないext3 / ext4ファイルシステムをマウントする場合は、インストールオプションをnoload完全に削除します(除く)。ro

たとえば、データが暗号化されているため、ライブシステムから何かをインポートする必要がある場合は、できるだけ入手してください。できることをできるだけ正確に記録してください(動画を撮影するのに役立ちます)。ただし、実際の基本データも取得する必要があります。ライブシステムから取得した情報(通常はキー)を使用して、簡単に追跡可能な方法でダンプから興味深いデータを直接再構築します。

このトピックの詳細については、以下で確認できます。セキュリティスタック交換、特に:

関連情報