マルウェア(コンピュータウイルスなど)に感染したパソコンは、ネットワークから切り離し、その後、どういう経路で侵入したかとか、影響・被害はどの程度か、どういう情報が流出したのかなどを調べるため、環境保全をしますね。環境保全のとき、ディスクのイメージをすべて!まるっと取得する方法について解説します。
環境保全用のツールはFTK Imager Liteを使います。これは、フォレンジック調査の前提となる証拠イメージの取得やハッシュ検証が可能なツールです。ただ、 無償ツールのため配布元ではサポートは行っておりません。自己責任でご使用くださいとのこと。
FTK Imager Liteはこちらからダウンロード。
FTK Imager Liteを使ったイメージの取得と、取得したイメージをマウントしてファイル抽出を行うところまでをメモしておきます。
コメント
[…] FTK Imager Lite […]