概要

C.A.IN.E. (Computer Aided Investigative Environment) は名前の通り、PCを対象とした調査支援環境です。
フォレンジック向けのLinuxはいくつかありますが、明確にそれのみを目的として設計されているので直感的に使えるし、ドキュメントも整備されているので個人的にはおすすめです。

本記事では、このC.A.IN.E.を使ってフォレンジック調査対象機器のディスクイメージを保全する方法について取り上げます。

https://www.caine-live.net/

ちなみに、C.A.IN.E.はUbuntuベースのOSです。

起動

本記事では C.A.IN.E. 13.0 "WARP" を対象とします。
ダウンロードしたらハッシュ値をチェックしましょう。

› certutil -hashfile caine13.0.iso sha256
SHA256 hash of caine13.0.iso:
6d25180757d6a8a71e98706009d7a9ba3613131727fc96c2037d78bbd4c8ce3a
CertUtil: -hashfile command completed successfully.

用途的に、保全対象機器でUSBブートなどして起動すると思いますが、今回は解説の都合上VMwareで起動します。

DEFTもそうですが、デスクトップ画像がガビガビなのはなぜなんでしょうか。(古いPCでも動作させるため？)

保全手順

公式にイメージファイルの保全方法が公開されています。こちらも合わせて参照してください。
Imaging with CAINE

また、本手順では保全対象のディスクイメージとして msuhanov/ntfs-samples/ntfs.raw を使ってます。64GB(圧縮時80MB) と小さいので検証に扱いやすいです。

下準備

まずはタイムゾーンをJSTに合わせます。また、保全の際に実施した操作と時刻を記録しておきしょう。
このあたりは、デジタルフォレンジック研究会が公開している 「証拠保全ガイドライン」 が詳しいです。

ディスクのマウント

Mounter (画面右下にある緑色のHDDアイコン) をクリックして保全対象をマウントします。
このMounterを使うとReadOnlyでマウントされるようなので安全です。

ここで、保全対象は Test_volume です。

次に、イメージの保存先の設定もしましょう。
保全イメージよりも大きなディスク(128GB) を用意してパーティショニングしたら、
Mounterのアイコンを右クリックしてWritableマウントモードに切り替えます。

これ以降マウントするディスクはWritableになるので注意です。
先程と同様にディスクを選択してOKを押すと、Writableでマウントされていることがわかります。

保全

Guymanager を使ってイメージの保全を行います。
保全対象の /dev/sdb を右クリックしてAcquire imageを選択

色々設定できますが、今回はほぼデフォルトで行きます。
E01形式で、2GBごとに分割保存される設定です。

Startを押すとディスクの保全が開始され、Progressが表示されています。

確認

保全が終了すると、指定したディスクに .E01 形式のファイルと .info 形式のファイルが保全されていることが確認できます。

.infoファイルには保全に利用したGuymanagerのバージョンや詳細情報、保全したイメージのハッシュ値などが記録されています。

おわりに

C.A.IN.E.を使うことで、GUIで簡単にディスクの保全ができました。
また、デフォルトでReadOnlyになっているなどの必須機能についても搭載されており、実際のフォレンジックで使われることを想定して開発されたものであることがわかります。

個人的には結構使いやすいと思うので、ご家庭に一本はLive起動USBを用意しておいてもいいと思います。

おしまい