フォレンジック向け保全環境「WinFE」の作成方法
概要
WinFE(Windows Forensic Environment)とは...
Windowsベースのフォレンジック向け保全環境です。
保全を行う際は多くの場合、「C.A.IN.E.」のようなフォレンジック向けLinuxでUSBブートしてディスクの取得を行うと思いますが、「FTK Imager」のような、Windows用のソフトウェアを使って証拠の収集をしたい場合などに役立つと思います。
もともとはMicrosoftのシニアフォレンジックマネージャであるTroy Larson氏によって考案されたものらしいです。
環境
Windows10 Pro x64 ビルドバージョン1803以降
手順
基本的には下記の手順に従って進めていきます。
x86/x64両方ともほぼ同じ方法で作れますが、本記事ではx64にフォーカスして説明します。
また、今後の取り回しを考えてISOまで作っていこうと思います。
0. ドライブの準備
ボリューム直下で作成するのが望ましいとのことです。
「ディスクの管理」からVHDXを作成してFドライブとしてマウントしました。ウィザードに従ってはいはい言ってれば大丈夫だと思います。
1. 必須ファイルのコピー
x86/x64 USB/CD FrameworkからWinFE用のファイルをダウンロードします。7z形式で圧縮されているため、7zipが必要です。
展開後のファイル群を F:\IntelWinFE 配下にコピーすると、下記のような構造になります。
また、ここで F:\IntelWinFE\x64\wallpaper.jpg に画像を配置しておくと、最終的に出来上がる環境の壁紙を変えることができます。
2. Windows ADKのインストール
WinFEは、WinPE(Windows Preinstallation Environment)がベースになっています。
そのため、それをインストールするためのADK(Assessment and Deployment Kit)を準備しましょう。
下記のページにアクセスして「ADK for Windows 10, version 1803」と検索します。
ダウンロードしたファイルを実行してインストールしておきましょう。そこそこ時間かかります。
3. ツールのインストール
FTK Imager 4.7.1 を追加でインストールします。
とはいえ、FTK Imagerは1フォルダで完結するように作られているため、適当なフォルダにインストールしたあとにフォルダごとコピーするだけです。
F:\IntelWinFE\USB\x86-x64\tools\x64 にフォルダごとコピーするとこうなります。
4. ISOの作成
コマンドプロンプトを管理者権限で実行し、下記のコマンドを実行します。
> F:
> cd IntelWinFE
> MakeWinFEx64-x86.bat
ここまででファイル自体は作れているのですが、続いてISOにするためのコマンドを打ちます。
> Makex64-x86-CD.bat
実行が終わると、下記PathにISOが作られます。
F:\IntelWinFE\ISO\WINFE_10x86-x64.iso
起動確認
試しにISOをVMwareで起動してみます。起動時に32bit/64bitを選択できるようになっています。
起動が終わると、ディスクのマウントやR/Wを選択できるツールが起動します。
必要に応じてマウントやR/W切り替えをしたあとに Continue を選択します。
起動後、上部のツールバーから Other Tools > File Explorer を選択するとエクスプローラが開けます。
DVDドライブとしてマウントされているので、ISO作成時にコピーしたFTK Imagerを選択して起動します。
無事起動できました。あとは通常通り保全を進めましょう。
おわりに
この環境を使う上では、いくつかの観点で権利関係を考える必要があります。
ベースとなっているWindows PEとしての制限ですが、これは汎用的なOSではなく、あくまで展開や回復目的で提供されているものとなります。詳細はMicrosoftの公式ドキュメントをご参照ください。
WinFEは無償で提供されていますが、ツールの作成には多くの時間と労力が費やされています。
付属のWindows Password Removal Toolを利用する場合は、WinFEの複製ごとに9.99ポンドで購入する必要があります。
また、WinFEの扱いは公式に名言されているものではありませんので、今後新たなMicrosoftの方針が示される可能性もあります。
あくまで自己責任で利用しましょう。
おしまい
Discussion