Ontrack Now
================================================================================
■■ ■ ■ 豆知識 Vol.05-06
■ ■ ■ ■ ■ Windows エクスプローラ講座
■ ■ ◆■■ ■■■ ■ ■ ■■◆ ■■ ■ ■ ■ ■ No.2
■ ■ ■ ■ ■ ■■ ■ ■ ■ ■■ ■■ ■ ■■ ■ ■ ■
■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■■ ■ ■ ■■■■
■■ ■ ■ ■■ ■ ■■◆ ■■ ■ ■ ■ ■ ■■ ■ ■
=============================================================2007.06.28=========
【Windows エクスプローラ講座 No.2】
今回はWindowsのエクスプローラで出来るフォレンジクス(法的証拠探し?)的検証の
ほんのサワリをやってみましょう。 OSはXP Professionalを前提に・・・
UNIXが使える方はこちらの方がフリーの専門的なソフトがありますので、より専門的に
行えます。 「フォレンジクス」をキーワードに検索してみるとよいでしょう。
揃えておきたいソフトやエクスプローラの基本的設定、操作については2006年7月号で
御紹介した「 Windows エクスプローラ講座 No.1 」を参照頂ければと思います。
OS付随のソフトでは、コントロール・パネルの中の「システム」、「管理ツール」、
「ユーザー・アカウント」、「レジストリ・エディタ」を使えると少し得られる情報が
増えます。
では、ご自身のPCを見て頂きましょうか。 あ、アドミニストレータ権限がないと、
現在ログオンしているプロファイルと共有部分しか見れませんよ。
昔使ったHDDをATAのセカンダリに繋いでチェックするのもよいでしょう。こうすれば、
システムのコントロール下のセキュリティ設定は働きませんので、暗号化されていない
部分はすべて見えるはずです。
では、エクスプローラだけでもこれくらいは見当が付きますよといったところ。
* システムがいつインストールされたか。
−いつからインストールを始めたかという事は正確には判りませんが、"Program
Files"の"InstallShield Instrallation Information"の作成日付辺りが最も
古いものになっているはずです。
My Doc配下にある "All Users","Default Users","Local Service"を順に
開いてみて、この配下にあるフォルダの内、最も古い作成日を探してください。
デフォルトのフォルダが作られ、使用可能になる直前の日時になります。
言い換えれば、この差からインストールに掛かった大体の時間が推測出来ます。
「エクスプローラ」で "Documents and Settings" を開いてください。
* ユーザーアカウントが何時作られたか。
ユーザーアカウントを作成した最も古い日時がプロファイルを作った時間という
事になります。 "Application Data","Local Settings","My Documents"・・・と
いったシステムが作成するフォルダの作成日は基本的に同じはずですね。
* いつまでユーザーがこのシステムを使ったか。
−各アカウントには"NTUSER.DAT"というファイルがありますが、このファイルが
各アカウントに割当てられたレジストリ・ファイルです。 このファイルは
シャットダウンの際に書き換えられますので、これをみれば、最後に正常に
ログアウトした日時が判ります。
−"ntuser.dat.log"というファイルがあれば、そのアクセス日時をみれば、大体
何時頃まで使っていたかが判ります。レジストリ情報を参照する動作があれば
ここに記録されていきますので・・・
同じ方法でアプリケーションのフォルダを見ていけば何をいつ最後に使ったか
等という事が把握出来るものがあります。
* ユーザーがどこをみたか。
−どのサーバーやクライアントに接続したかは"NetHood"を開いてみれば判ります。
ここが空という事はユーザーが意識的に痕跡を消す設定を行った事を示します。
接続アイコン(LAN接続マークのフォルダ型アイコン)各々のプロファイルを
見れば、最初に接続した日時(作成日)と相手先が判ります。 また、更新日を
みれば、最後に参照した日時が判ります。
−使ったファイルについては"最近使ったファイル"を見ます。 ここも空であれば、
ユーザーが意識的に痕跡を消す設定をしています。
ここにはリンク情報が入っていますので、プロパティをみればファイルの位置や
ファイルの作成日、最終更新日、アクセス日等をチェックする事が出来ます。
−"Local Settings" - "History" で、Internet Explorer使用者であれば、3週間
程度のアクセス履歴が判ります(デフォルトでは20日間)。 リンクが入って
いますので、該当ページを確認する事も可能です。
ここも空であればユーザーが意識的に痕跡を消す設定をしています。
え? 何を使えば履歴を消去出来るかですか? これはMicrosoftが配布している
"Tweak UI"というソフトのエクスプローラの項目で設定出来ます。 これについては
2007年3月号で触れていますので、そちらを参照してください。
フリーウェアでもこの辺の設定が出来るものがあったと思います。 "窓の手",
"Win高速化 PC+"といった名前でしたか。
メール等もEUDORA等のテキスト型メーラであれば、テキストエディタでファイルを開き、
中を見ることも可能ですし、エディタのgrep機能を使えば、複数のメールボックスの中
から該当する日付やメールアドレス、文字列を含むものを探し出すなどといった事も
可能です。 本文はテキストでも添付ファイルはBASE64エンコードのまま本文と一緒に
記憶しているもの等もありますので、BASE64デコードが出来るソフトも持っておくと
良いでしょうね。
アプリケーション・レベルでトラッキングをしたいのであれば、まずはそのアプリが
作成するファイルの拡張子を知る必要があります。 この辺りが必要になる方は
ネット上の拡張子辞典等を参考にして頂く事と、自社がどこのメーカーのなんと言う
ソフトを使っているか位は知っておかねばならないでしょう。 Windows 2000以降は
ユーザーが作成するファイルは原則として"Docments and Settings"配下のユーザー
プロファイルの"Application Data\Local Settings\Application Data/My Documents"
に作られる様になっています。あとは"All Users"をチェックしてみる事です。
その前に、先に挙げた"最近使ったファイル"をまずは見てみる事ですね。 ここで
大体何を使っているかがわかります。 各ファイルの内部構造、少なくともヘッダと
フッタ、キーになる情報の収納位置が判れば(自分で作ったファイルをじっくり眺めて
みれば判ってきます)これをキーにエクスプローラやエディタを使って検索系の操作を
すればある程度は情報に近づくことができます。
仕事でとなれば、YEC社が扱っている"Encase"という専用のソフトやUBIC社が扱って
いる専用のハードウェアを購入する事になります。 日本電気エンジニアリング社
等の汎用の複製装置もありますが、結構な値がします。
これらの作業には元データを保護する為、ディスクの複製は欠かせませんが、先に
挙げたハードの調達までは・・・という場合は、ソフトでという事になります。 今の所
Windows環境で使えそうなものは、"SoftImage"というフリーウェアか国産の"ディスク
ダンプ エディタ"位でしょうか。 このレベルまで手掛けたいということであれば
UNIX環境で考えられる方が安上がりでしょう。 方法論について解説したウェブサイト
も存在しますので。
企業に所属する皆さんは、それぞれのIT部門が設定するセキュリティ・ポリシーの
下からはみ出さない事が無難でしょう。 今後は持ち出す可能性がある機器については
記憶媒体全体を暗号化する方向により進むでしょうし、OSが持つ履歴については全て
残す設定になると思われます。 これは現在の法制の元で行い得る企業の対応策は自己
証明しかありませんので、これらを意図して消去することは何等かの下心ありと捉え
られる危険性が多いからです。 "TWeak UI"等を使ってPC上のアクセスの履歴を消去
することは可能ですが、これは自宅環境等だけに止められる方がよろしいかと思います。
暗号化やパスワードの設定も同様です。 もし、全体としてのポリシーがないので
あれば、部門でのポリシーを設定し、IT部門に通告してから実施される方がよろしい
でしょう。
以上
================================================================================
Ontrack Data Recovery Service--
======================================================豆知識===Vol.05-06=END====
