トップページへ

 セットアップ
Debian化
カーネル再構築
Debian化仕上げ
HDDの初期化
フローチャート

 サーバ構築
ルータの設定
無料ドメイン収得
Webサーバ
メールサーバ
FTPサーバ
ファイルサーバ
プリンタサーバ
DNSサーバ
データベースサーバ

 運 用
基本的なコマンド
テキストエディタ
シェルスクリプト
運用に必要な物
ファイアウォール
ログの管理
バックアップ
データ復旧
VMware

 監 視
Webアクセス解析
システム監視
ログ解析
不正アクセス監視

 その他
リンク

sponsored link

【 更新履歴 】


2009年7月25日
 サイトデザインを一新

2009年3月31日
 Debian化仕上のページを更新

2008年09月15日
 新サイト開設



Autopsy and Sleuthkit

作成日:2008/02/18



 思わず大事なファイルを消してしまった経験は誰もがあると思います。ゴミ箱に捨てただけならまだ戻せますが、右クリメニューから削除したり エクスプローラーから削除してしまったら取り返しはつきません。特に多いと思われるのはデジカメの写真を本体のボタン操作ミスで削除してしまうことでしょう、 私もよくやってしまいます。
 そんな時はなるべく最短の操作で、パソコンを閉じる、記録メディアを取り外す、デジカメの写真は追加で撮影しない等の 応急対処で削除された(実はまだされていない)ファイルを守りましょう。見た目はファイルがなくなっているように見えますが、 実はそこにはファイルの痕跡が残っています!その痕跡を上書き(自動でされる可能性があります)される前にデータファイルのレスキューを試みて見ましょう。

この項目で必要とするものを表記します
必要なもの
 説明
Ubuntu 7.10
(今はもう少しvar.が上でしょう)
 1CD起動Linux
Sleuthkit
 USBメモリ、フラッシュメモリ、HDD等
削除してしまったデータを見つけ出してサルベージするプログラム
Autopsy
 上記Sleuthkitをブラウザ上で操作するプログラム
記録デバイス(削除データ入り)
 USBメモリ、フラッシュメモリ、HDD等
削除データが入っている記録媒体
記録デバイス(レスキュー用) レスキューしたデータを保存する媒体
削除データが入っている記録媒体より大きい容量が必要


今回は削除してしまったと仮定したデータを自前で用意しました。

テストとして復旧させたい記録媒体を作成

1. 今回は1G USBメモリをテスト媒体として使用してみます。




2. 10個の各種ファイルを準備しました。




3.そのうち7つのファイルを削除してみました。




4. 確かに無くなっていますね。この削除してしまった7つのファイルをレスキューしてみたいと思います。




データのレスキュー用にCD起動のLinuxを使用します。このCDを入れてPCを起動すると自動的にUbuntuが起動してくれます。

Ubuntu CDの作成

1. UbuntuはLinuxですがパソコンにインストールする必要はなく、CD起動だけで操作することもできるディストリビューションです。
まずはhttp://www.ubuntulinux.jp/にアクセスします。 移動したら左のメニューから「Ubuntuの入手」をクリックします。




2. 次に画面中央にある「日本語ローカライズドDesktop CDのダウンロード」をクリックします。




3. 「ubuntu-ja-7.10-desktop-i386.iso(CDイメージ)」をクリックします。




4. ダウンロードが終了したらisoイメージをCDライティングソフトで焼きます(各製品で違いますがisoイメージを焼くメニューがあると思います)。



5. WindowsをCD起動優先にして(Windowsが起動する時一瞬だけF2を押せとか文字が出ると思いますのでそこで設定) Ubuntu CDを入れて再起動するとUbuntuが起動します




上記で作成したCDを入れてPCを起動します

Ubuntuの起動とレスキューデータイメージの作成

1. Ubuntuを読み込んだらメニューの「Ubuntuの起動とインストール」を選択します。



2. 起動したらレスキューしたい媒体とレスキュー先の記録媒体をパソコンにつなげます。 すると自動認識されてデスクトップにアイコンが表示されると思います。
注意:デスクトップにあるインストールのアイコンはクリックしないでください。 パソコン本体へUbuntuのインストールが始まってしまいます。




3. 上記メニューから「アプリケーション」→「アクセサリ」→「端末」をクリック。




4. 端末内で下記のコマンドを入力して認識された媒体の情報をメモしておきます。
  「sudo mount」と入力してEnter
ずらずらと表示される文字の中に「/media/自動認識されたアイコン名」があると思います。 その左に書かれている「/dev/***」がセットですのでメモしておきましょう。

今回の私の例の場合(赤字はメモしておくべき情報)

記録媒体
 デバイス名
 マウントポイント
レスキューしたい媒体(1G USBメモリ)
 /dev/sdc1
 /media/KINGSTON
レスキューデータを保存する媒体(外付けHDD)
 /dev/sdb1
 /media/MEB_V2380T



5. 端末内で下記のコマンド(私の例)を入力してレスキューしたい媒体の全データをイメージ化します(媒体と同じくらいの容量のイメージファイルができます)

 「sudo dd if=/dev/scd1 of=/media/MEB_V2380T/rescueimage bs=1024 conv=noerror,sync」と入力してEnter

ifのデバイス名はレスキューしたい媒体を入力、ofのデバイス名は取り出したイメージを保存する媒体とイメージファイル名を入力
容量とパソコンのスペックにもよりますが時間がかかる場合があります。




レスキューイメージデータを作成したら実際にデータのサルベージを行います

データのレスキュー

1.端末で「sudo apt-get update」と入力してEnter



2.端末で「sudo apt-get install autopsy」と入力してEnter。「Yes」のままでEnter。同時にSleuthkitもインストールされます。



3.端末で「sudo autopsy」と入力してEnter。端末はそのままにしておきます



4.Ubuntu内のインターネットブラウザを開いて「http://localhost:9999/autopsy」のアドレスにアクセス




5.「New Case」ボタンをクリック



6.「Case Name」「Description」「Investigator Names」に適当な名前を入力して「New Case」ボタンをクリック




7.何も変更せずそのまま「Add Host」ボタンをクリック




8.何も変更せずそのまま「Add Host」ボタンをクリック




9.何も変更せずそのまま「Add Image」ボタンをクリック




10.「Add Image File」ボタンをクリック




11.レスキューデータのイメージを保存したディレクトリを手入力(例:上記ddコマンドで入力した /media/MEB_V2380T/rescueimage)
他は変更せずに「Next」ボタンをクリック




12.「Volume Image」にチェックをして「OK」ボタンをクリック




13.何も変更せずそのまま「Add」ボタンをクリック




14.何も変更せずそのまま「OK」ボタンをクリック




15.「Analyze」ボタンをクリック




16.上記タブの「File Analysis」ボタンをクリック




17.ずらずらとファイル名が表示されていればとりあえず成功。赤い文字は削除されてしまったファイルを意味します。 この中に目的のファイルがあればレスキューの可能性があります。




18.削除されてしまったファイルをクリックすると画面にファイル内容のプレビューが表示されます。 WordやExcelは文字化けしてしまいますが画像はそのまま表示されます。




19.ファイルのプレビュー画面に「Export」の文字がありますのでクリックするとレスキューされたデータを保存します。




20.デフォルトでは保存先は「デスクトップ」になっていますので片っ端から保存して記録媒体にコピーしましょう (ファイル名は文字化けしてしまいますので必要に応じて名前の変更)。
Ubuntuには WordやExcelのファイルを編集できる「Open Office」がありますので先ほどのプレビューで文字化けしていたファイルを開いて確認ができます。



21.全ての削除ファイルを記録媒体にコピーしたらUbuntuをメニューからシャットダウンします。



22.Windowsに戻って削除ファイルの確認をします。ファイル名は文字化けしていますが中身は削除前のままでした。



 今回テストで削除したデータは全て復旧できました。何度も言いますが、上記の面倒くさい操作をしてでも レスキューさせたいデータを削除してしまった場合は上書きされてしまう前(いつの間にかされてしまうので注意!)に記録媒体を取り外しましょう。