日曜フォレンジック ~デジタルカメラの写真と動画を復旧せよ~

Transcript

1. ⽇曜フォレンジック デジタルカメラの写真と動画を復旧せよ

2. 運動会シーズンに事件は起きた • デジカメのmicroSDカードのファイルシステム(FAT32)が壊れました • ご家庭あるある!? • ミラーレス⼀眼カメラ • Panasonic LUMIX

   GF9 • LUMIX G VARIO 14-140mm/F3.5-5.6 ASPH./POWER O.I.S. • microSDカードのデータをPCにコピー中にファイルシステム(FAT32)が破損 • 撮影・編集した動画や、切り抜いたベストショットの写真らがみえなくなった（涙） • 家族で唖然・呆然・愕然 😱

3. MICRO SDカードの状態 ファイルシステムのどのセグメントが壊れていたかは割愛 SDカードをマウントできないが、パーティションは⽣きているようだ • ファイルシステム(FAT32)が壊れた後、何も操作していない状態 • クイックフォーマット含め、ディスクの”フォーマット”をもちろんしていない状態

4. データ復旧アプローチ 1. データ保全（※フリーでできる簡易仕様） • 書き込み禁⽌スイッチ + ddコマンドなどで解析⽤ .imgファイルを作成 • sudo

   dd if=/dev/disk4 of=./sdcard32.img bs=16m status=progress 2. ファイルシステムの復旧 • 無償ソフトウェア FTK Imager, Autopsy, TestDisk, etc. 3. ファイルの復元 • 無償ソフトウェア FTK Imager, Autopsy, TestDisk, etc. • ファイルカービングで抽出 • ソフトウェア PhotoRec ,etc. 4. データの復元 • ソフトウェア Bulk Extractor, etc. 今回は動画ファイルを復元したいため対象外

5. 2. ファイルシステムの復旧 AUTOPSY 4.17.0などでファイルシステムのタイプを読み取れず、 IMGファイルをロードできないため、ソフトウェアでの”復旧”を 断念（他の⽅法で復旧できるかもしれません）

6. 3. ファイルの復元 PHOTOREC 7.1でファイルカービング クラスタサイズとファイルサイズの両⽅加味してくれる • JPGなど画像は簡単にデフォルト実⾏で復旧できた • 抽出されたMP4動画ファイルを再⽣できない.. 真っ暗な画⾯が流れる..

   • 理由：これらのmp4が動画のメタデータファイルであり、ビデオストリーミングの本体で はない、⾔われてみればファイルサイズも⼩さい。 • PhotoRec公式ドキュメント https://www.cgsecurity.org/testdisk_doc/photorec_video.html 「13. Recovering lost videos from a memory card using PhotoRec」より、ある種のデ ジカメで撮影された動画はフラグメントされ別々のファイル、_ftyp.movと_mdat.movに分 かれるそうだ。（LUMIXでは_ftyp.movが.mp4で抽出された。） • デフォルト対象外のオプションを有効化してmdat.movもファイルカービングしなおす！ • [X] mov/mdat Recover mdat atom as a separate file ※スクショは昨年の別のSDカードの例です。運動会のものをスクショ撮り忘れてました。

7. [重要] _MDAT.MOVと.MP4をどのように結合するか どのファイルとどのファイル？ どの順番で２つを結合するの？ • ⼤事なのは、ファイル名であり、タイムスタンプではなかった • _mdat.movはメタデータを持っていないため、カービング時刻でファイル作成のタイムスタンプが付与 • 抽出されたファイル名には通常、デジカメで作成された順に番号が付与されている

   • ファイル名の順列を把握すると、ビデオストリーミングデータ(_mdat.mov) 、メタデータ(.mp4)の順で番号が付与されている • 動画を撮るときはデータを保存しつつ、撮影停⽌時にメタデータをまとめてファイル保存するためと推察 • 抽出ファイル名「 f*********」番号が結合すべきmp4とmdat.movで異なるためマッチングアルゴリズムが必要 • [解] ファイル名でソートし隣接するメタデータ(.mp4) + ビデオストリーミング(_mdat.mov)の順で結合する ※スクショは昨年の別のSDカードの例です。運動会のものをスクショ撮り忘れてました。

8. _MDAT.MOVと.MP4を結合し動画復元 即興PYTHONスクリプトの開発 /recup_dir.1/f8218176.mp4 + /recup_dir.1/f7637440_mdat.mov = Created. f7637440.mov … 63

   files are probably recovered! (mdat:63,mp4:65) 動画も復活！パパ⼤好き😘❤ GitHubリンク https://github.com/Tatsuya-hasegawa/Forensic_stub/blob/main/mdat_mp4_combine_recovery.py

9. 今回の⼿法における デジカメ写真と動画 復元できる例、復元できない例 できる可能性が⾼い例 • 破損および削除後に何も操 作をしていない • データ保全は可能な限り取 得しておく

   できない可能性が⾼い例 • データ削除後に撮影の追加が頻繁に発 ⽣していたSDカードの削除データ • GoProなどで３つ以上のファイルにフ ラグメンテーションされる動画 • 物理的に破損しているSDカード あくまでデジカメが保存したデータに対してであり、パソコンやスマホからSDカードへのコピーされたデータは別問題 また復元できるかどうかは、お使いのデジタルカメラの仕様にも依存するだろう ü SDカードのフォーマットは復旧・復元を諦めるまではしないこと ü データを上書きする物理フォーマットをすると、復元できない可能性が⾼い ü クイックフォーマットのような論理フォーマットでは、復元が可能な場合もある ü 直接SDカードに対し復旧・復元の処理を実施せずに保全イメージに対して⾏う

10. スライド内の無償ソフトウェア • PhotoRec • https://www.cgsecurity.org/wiki/PhotoRec • FTK Imager • https://www.exterro.com/ftk-imager

    • Autopsy • https://www.autopsy.com • TestDisk • https://www.cgsecurity.org/wiki/TestDisk • Bulk Extractor • https://github.com/simsong/bulk_extractor • ddコマンド • https://atmarkit.itmedia.co.jp/ait/articles/1711/30/news027.html

11. HAPPY SUNDAY FORENSIC! THANK YOU !