ファイルタイプのカテゴリの解析 ヘルプ
概要
巨大なファイルシステムのイメージの解析は、非常に気が遠くなるような作業である。
調査すべきファイルを特定する方法の一つは、ファイルタイプに基づいてファイルをソートすることである。
Autospy において、このモードでは、イメージ中のファイルをタイプに基づいてソートしたり、(データ量の削減のため)既知のファイルを除外したりすることが可能である。
すでに問題があるとわかっているファイルに対して、フラグをつけることも可能である。
手順
TASK の docsディレクトリ中の sorter ドキュメントに詳細が記述されている。
ここでは、 Autospy の提供するインタフェースについての概要を説明する。
最初の段階は、イメージのSortである。
これを行なうに当たり、いくつかのオプションが存在する。
TASK に含まれる sorter ツールがソートを実行する。
sorterで実行可能なアクションには、大きく以下の 2 つがある:
ファイルタイプによるソートと拡張子の検証である。
デフォルトでは、Autopsy は両方のアクションを行なう。
これが望ましくない場合は、アクションを非選択にすることで、必要なアクションだけを行なうようにすることも可能である。
ソートを行なうに際しては、以下の 2 つのオプションがある:
- 最初のオプションは、出力の保存に関するものである。
デフォルトでは、各ファイルに関する詳細は、カテゴリファイルに追加される。例えば JPEG イメージのメタデータのアドレスから、イメージ名がimagesファイルに保存される。
Save オプションを選択することで、各カテゴリ毎にディレクトリが作成され、ファイルのコピーが保存される。
これには、多くのディスク領域(オリジナルのイメージのサイズ分)が必要となる。
- 次のオプションは、不明なファイルタイプの保存に関するものである。
共通のデータタイプに関するルールが格納されている設定ファイルが存在する。
ファイルに対応するルールがない場合、そのファイルはunknownファイルに追加される。
これが望ましくない場合は、Do Not Save Unknown オプションを選択すること。
ソート処理の間、sorterツールはファイルの拡張子を確認する。
ファイルタイプが既知のものであった場合、それには既知の拡張子が存在する。
対応する既知の拡張子のいずれも付与されていないファイルについては、mismatch ファイルに追加される。
これが望ましくない場合、このオプションを非選択にすることもできる。
ハッシュデータベース
データ量を削減する簡単な方法の一つが、ハッシュデータベースの利用である。
sorter ツールでは、三通りの異なるハッシュデータベースを用いることが可能である。
各々は、Autopsy から設定を行ない、利用することが可能である。
- NIST NSRL: NIST NSRL には信頼できる OS のファイルやプログラムのハッシュ値が登録されている。これは既知のファイルを除外する際に用いられる。
NSRL 中に存在するファイルはファイルカテゴリに含まれない(ファイルを表示する際の時間を短縮するため)。NSRL 中に拡張子が適切でないファイルが存在する場合、そのファイルは特別なファイル(special file)に記録される。
- Ignore Database:
このデータベースは利用者が作成し、ホストに追加しておく必要がある。
これは、既知の問題がないファイル(good file)のハッシュを格納するという点で NSRL に似ている。こうしたファイルは NSRL データベースで行なわれるのと同様にして対象から除外される。
- Alert Database: このデータベースも利用者が作成し、ホストに追加しておく必要がある。
これには、不良であるとされており、イメージ中に存在している場合は、識別を行なうべきとされているファイルのハッシュが格納されている。
これには、既知の rootkit や写真(photograph)が含まれている。
このデータベースにマッチしたものは、alertファイルに記録されている。
詳細については、Hash Database のヘルプを参照のこと。
出力
現在のところ、Autopsy 内で出力を表示する方法はない。
すべてのデータは、ホストのoutputディレクトリに存在する。
sorter の出力用のディレクトリも作成されている。
index.html ファイルに、その他のファイルへのリンクも含まれている。
Brian Carrier