Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
SDカードフォレンジック
Search
su3158
April 19, 2025
Technology
960
2
Share
SDカードフォレンジック
フォレンジック初心者が、自身の遭遇した読み込めないSDカードから、データ復旧を試みた
su3158
April 19, 2025
More Decks by su3158
See All by su3158
開発と脆弱性と脆弱性診断についての話
su3158
1
1.4k
Other Decks in Technology
See All in Technology
AIが書いたコードを信じられない問題 〜レビュー負荷を下げるために変えたこと〜 / The AI Code Trust Gap: Reducing the Review Burden
bitkey
PRO
8
1.4k
AIが自律的に働く時代へ Amazon Quick で実現するAIエージェント紹介
koheiyoshikawa
0
100
スクラムの中で AI-DLC workflow を 使い始めて3ヶ月の振り返り
kaminashi
0
130
AWS Transform CustomでIaCコードを自由自在に変換しよう
duelist2020jp
0
140
Chasing Real-Time Observability for CRuby
whitegreen
0
260
マルチプロダクトの信頼性を効率良く保っていくために
kworkdev
PRO
0
170
目的ファーストのハーネス設計 ~ハーネスの変更容易性を高めるための優先順位~
gotalab555
8
2.4k
Do Vibe Coding ao LLM em Produção para Busca Agêntica - TDC 2026 - Summit IA - São Paulo
jpbonson
3
150
AIコーディング時代における、ソフトウェアサプライチェーン攻撃に対する防衛術(簡易版)
soysoysoyb
0
130
Rapid Start: Faster Internet Connections, with Ruby's Help
kazuho
2
770
20260423_執筆の工夫と裏側 技術書の企画から刊行まで / From the planning to the publication of technical book
nash_efp
3
440
データを"持てない"環境でのアノテーション基盤設計
sansantech
PRO
1
140
Featured
See All Featured
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
141
35k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
231
54k
The #1 spot is gone: here's how to win anyway
tamaranovitovic
2
1k
Paper Plane
katiecoart
PRO
1
49k
Designing for Performance
lara
611
70k
How to optimise 3,500 product descriptions for ecommerce in one day using ChatGPT
katarinadahlin
PRO
1
3.5k
A designer walks into a library…
pauljervisheath
211
24k
Building Adaptive Systems
keathley
44
3k
Conquering PDFs: document understanding beyond plain text
inesmontani
PRO
4
2.6k
Utilizing Notion as your number one productivity tool
mfonobong
4
290
Hiding What from Whom? A Critical Review of the History of Programming languages for Music
tomoyanonymous
2
780
Designing Experiences People Love
moore
143
24k
Transcript
SDカードフォレンジック
自己紹介 セキュリティ企業でセキュリティに関する事をしてます 安全確保支援士 Twitter:スー
今回のフォレンジックにあたり ・発表者はフォレンジック初心者 ・目標設定としては、データが取得できるところまで ・それ以上に関しては時間があれば
発表 やったことを時系列順に通していくスタイルで発表します
どこまでやるか データ取得を目的としているが、フォレンジックとしてはどこまでやるか ・カードリーダーで接続してできる範囲 ・物理的に削って直接データアクセスを試みる範囲
どこまでやるか データ取得を目的としているが、フォレンジックとしてはどこまでやるか ・カードリーダーで接続してできる範囲←今回はここまで ・物理的に削って直接データアクセスを試みる範囲
どこまでやるか データ取得を目的としているが、フォレンジックとしてはどこまでやるか ・カードリーダーで接続してできる範囲←今回はここまで ・物理的に削って直接データアクセスを試みる範囲 理由として、中身のデータよりSDカードの方が優先度が高いため 機会があれば削ってデータアクセスしてみたい
今回フォレンジックするSDカード
今回フォレンジックするSDカード ミラーレスカメラで利用していたSDカード 突然エラーが発生してアクセスができなくなった
今回フォレンジックするSDカード Windowsに接続しても不可
フォレンジック フォレンジックをしていくにあたりはじめにやることとは
フォレンジック フォレンジックをしていくにあたりはじめにやることとは 原本の保全ですね なので原本のコピーを作成するために仮想環境を用意します
原本のコピー 1.Ubuntuを用意
原本のコピー 1.Ubuntuを用意 2.gddrescueをインストール ddでデータ移せばいいやと考えていたが、参考に調べるとddでは上手くいかない場合 があるようだったため
原本のコピー 1.Ubuntuを用意 2.gddrescueをインストール 3.実際に原本をコピーを試みる ホストOSに接続から仮想環境にうまく認識させることができない
原本のコピー 1.Ubuntuを用意 2.gddrescueをインストール 3.実際に原本をコピーを試みる ↓ 仮想環境でのフォレンジックは一旦諦める
原本のコピー 1.Windowsで原本のコピーもしくは直接解析出来る方法を探す 中身に重要な情報はないので、直接解析出来る方法も合わせて探すことにする
原本のコピー 1.Windowsで原本のコピーもしくは直接解析出来る方法を探す 2.Recuvaを試す 誤って削除してしまったファイルを復元できるソフト 出典 https://forest.watch.impress.co.jp/library/software/recuva/
なんか色々便利そう
原本のコピー 1.Windowsで原本のコピーもしくは直接解析出来る方法を探す 2.Recuvaを試す 試すが、そもそもWindowsがSDカードをフォーマットしないと、使用不可と言ってくるため 動作しない
原本のコピー 1.Windowsで原本のコピーもしくは直接解析出来る方法を探す 2.Recuvaを試す 3.FTK Imagerを試す
FTK Imager バイナリを表示する事ができた ざっと見た感じ壊れてる 下の方に行くとデータらしきものがある
原本のコピー 1.Windowsで原本のコピーもしくは直接解析出来る方法を探す 2.Recuvaを試す 3.FTK Imagerを試す 4.FTK ImagerでSDカードの保全をする 機能としてあり、Export Disk Imageで作成する
原本のコピー 1.Windowsで原本のコピーもしくは直接解析出来る方法を探す 2.Recuvaを試す 3.FTK Imagerを試す 4.FTK ImagerでSDカードの保全をする 機能としてあり、Export Disk Imageで作成する
続いて、この作成したイメージをどうやって読み込むか
Autopsy
Autopsy 作成したイメージを読みこめた 中の画像データを普通に出してくれる 右の図のように色々分類分けもある
Autopsy
Autopsy 実際に復元できた写真
Autopsy 実際に復元できた写真 16進数版
Autopsy 実際に復元できた写真 復元で出てきた写真は実は、フォーマットで更新をしていたものが多かった カメラの利用しているフォーマットの種類のためそこについては仕方ない
原本のコピー 1.Windowsで原本のコピーもしくは直接解析出来る方法を探す 2.Recuvaを試す 3.FTK Imagerを試す 4.FTK ImagerでSDカードの保全をする 5.Autopsyで先ほど作成したイメージを読み込む 6.画像を抽出する事に成功
試さなかったこと Linuxの実機での解析 →メンテナンス中ですぐに稼働出来るものが無かった バイナリデータから無理矢理ファイル抽出 →コードを書いてバイナリ抽出して、ファイルと思われる物を抽出する案もあった →既存のツールだけで出来たから目的は達成済み、その為あまりやる理由無し
まとめ ・今回の事例ならまだ意外と苦労せずに復元はできた ・確実にフォレンジック対策をしたい場合は、記憶媒体を物理的に破壊するべき ・機密性の高い情報を保存していなかった場合は、記憶媒体の全てのビットにたいして 複数回の上書きをかけた方が安心 ・記憶媒体はいつ死ぬか判別が難しいのでバックアップは大事 参考 https://www.ipa.go.jp/security/crypto/gmcbt80000005u4j-att/SP800-88rev1.pdf
su3158
bitkey
koheiyoshikawa
kaminashi
duelist2020jp
whitegreen
kworkdev
gotalab555
jpbonson
soysoysoyb
kazuho
nash_efp
sansantech
eileencodes
destraynor
tamaranovitovic
katiecoart
lara
katarinadahlin
pauljervisheath
keathley
inesmontani
mfonobong
tomoyanonymous
moore
