<h2 id="%E6%A6%82%E8%A6%81">
<a class="header-anchor-link" href="#%E6%A6%82%E8%A6%81" aria-hidden="true"></a> 概要</h2>
<p>保全した NTFS イメージファイルから、ファイル, ディレクトリ, 代替データストリーム(下記、アーティファクト)を抽出する手順を示します。<br>
本ソフトウェアは dd(raw), e01, vmdk などの形式に対応しています。</p>
<aside class="msg message"><span class="msg-symbol">!</span><div class="msg-content">
<p>vmdk などの仮想マシンで使われるイメージファイルの場合、<br>
スナップショットの取得等で分割されたケースには対応していません。</p>
</div></aside>
<h2 id="%E3%82%AF%E3%82%A4%E3%83%83%E3%82%AF%E3%82%B9%E3%82%BF%E3%83%BC%E3%83%88">
<a class="header-anchor-link" href="#%E3%82%AF%E3%82%A4%E3%83%83%E3%82%AF%E3%82%B9%E3%82%BF%E3%83%BC%E3%83%88" aria-hidden="true"></a> クイックスタート</h2>
<p>下記はdd(raw)形式のイメージファイル <code>ntfs.raw</code> から<br>
<code>$MFT</code> を抽出する際のコマンドです。</p>
<p>第一引数の <strong>検索クエリ</strong> は Unix/Linux 形式のパスで指定してください。<br>
この手順は Windows の場合も共通です。</p>
<h3 id="linux">
<a class="header-anchor-link" href="#linux" aria-hidden="true"></a> Linux</h3>
<div class="code-block-container"><pre class="language-bash"><code class="language-bash">$ ./ntfsdump <span class="token string">'/$MFT'</span> ./ntfs.raw
</code></pre></div><h3 id="windows">
<a class="header-anchor-link" href="#windows" aria-hidden="true"></a> Windows</h3>
<div class="code-block-container"><pre class="language-powershell"><code class="language-powershell">&gt; ntfsdump<span class="token punctuation">.</span>exe <span class="token string">"/<span class="token variable">$MFT</span>"</span> <span class="token punctuation">.</span>\ntfs<span class="token punctuation">.</span>raw
</code></pre></div><h2 id="%E8%A9%B3%E7%B4%B0%E3%81%AA%E6%93%8D%E4%BD%9C%E6%89%8B%E9%A0%86">
<a class="header-anchor-link" href="#%E8%A9%B3%E7%B4%B0%E3%81%AA%E6%93%8D%E4%BD%9C%E6%89%8B%E9%A0%86" aria-hidden="true"></a> 詳細な操作手順</h2>
<p>下記に詳細な操作手順を示します。</p>
<p>また、例示については基本的に Linux 版を記載していますが、<br>
Windows で使用する場合はリポジトリの README を参考に読み替えてください。</p>
<h3 id="%E6%A4%9C%E7%B4%A2%E3%81%A8%E6%8A%BD%E5%87%BA">
<a class="header-anchor-link" href="#%E6%A4%9C%E7%B4%A2%E3%81%A8%E6%8A%BD%E5%87%BA" aria-hidden="true"></a> 検索と抽出</h3>
<p>アーティファクトの検索と抽出を同時に行う場合, <strong>ntfsfind</strong> と組み合わせて使用します。<br>
下記は <strong>Windows イベントログ (.evtx 形式)</strong> を検索して保存する例です。</p>
<h4 id="%E5%80%8B%E5%88%A5%E3%81%AB%E6%A4%9C%E7%B4%A2%E3%81%A8%E6%8A%BD%E5%87%BA%E3%82%92%E5%AE%9F%E8%A1%8C%E3%81%99%E3%82%8B%E5%A0%B4%E5%90%88">
<a class="header-anchor-link" href="#%E5%80%8B%E5%88%A5%E3%81%AB%E6%A4%9C%E7%B4%A2%E3%81%A8%E6%8A%BD%E5%87%BA%E3%82%92%E5%AE%9F%E8%A1%8C%E3%81%99%E3%82%8B%E5%A0%B4%E5%90%88" aria-hidden="true"></a> 個別に検索と抽出を実行する場合</h4>
<p>検索には正規表現が使用可能です。<br>
検索結果は1つのアーティファクトにつき1行で標準出力されます。</p>
<div class="code-block-container"><pre class="language-bash"><code class="language-bash">$ ./ntfsfind <span class="token string">'.*\.evtx'</span> ./ntfs.raw
Windows/System32/winevt/Logs/Hoge.evtx
Windows/System32/winevt/Logs/Fuga.evtx
Windows/System32/winevt/Logs/Piyo.evtx
</code></pre></div><div class="code-block-container"><pre class="language-bash"><code class="language-bash">$ ./ntfsdump <span class="token string">'/Windows/System32/winevt/Logs/Hoge.evtx'</span> ./ntfs.raw
</code></pre></div><h4 id="%E3%83%91%E3%82%A4%E3%83%97%E3%83%A9%E3%82%A4%E3%83%B3%E3%81%A7%E6%A4%9C%E7%B4%A2%E7%B5%90%E6%9E%9C%E3%82%92%E6%B8%A1%E3%81%99%E5%A0%B4%E5%90%88">
<a class="header-anchor-link" href="#%E3%83%91%E3%82%A4%E3%83%97%E3%83%A9%E3%82%A4%E3%83%B3%E3%81%A7%E6%A4%9C%E7%B4%A2%E7%B5%90%E6%9E%9C%E3%82%92%E6%B8%A1%E3%81%99%E5%A0%B4%E5%90%88" aria-hidden="true"></a> パイプラインで検索結果を渡す場合</h4>
<p>パイプラインで <strong>ntfsfind</strong> の検索結果を直接渡すことも可能です。</p>
<div class="code-block-container"><pre class="language-bash"><code class="language-bash">$ ./ntfsfind <span class="token string">'.*\.evtx'</span> ./ntfs.raw <span class="token operator">|</span> ./ntfsdump ./ntfs.raw
</code></pre></div><p>予め抽出する項目が決まっている場合、ファイルから渡してもよいでしょう。</p>
<div class="code-block-container"><pre class="language-bash"><code class="language-bash">$ <span class="token function">cat</span> ./artifacts.lst <span class="token operator">|</span> ./ntfsdump ./ntfs.raw
</code></pre></div><h2 id="%E3%82%A4%E3%83%B3%E3%82%B9%E3%83%88%E3%83%BC%E3%83%AB%E6%96%B9%E6%B3%95">
<a class="header-anchor-link" href="#%E3%82%A4%E3%83%B3%E3%82%B9%E3%83%88%E3%83%BC%E3%83%AB%E6%96%B9%E6%B3%95" aria-hidden="true"></a> インストール方法</h2>
<h3 id="%E3%83%90%E3%82%A4%E3%83%8A%E3%83%AA%E3%82%92%E7%94%A8%E3%81%84%E3%81%9F%E5%AE%9F%E8%A1%8C-(%E6%8E%A8%E5%A5%A8)">
<a class="header-anchor-link" href="#%E3%83%90%E3%82%A4%E3%83%8A%E3%83%AA%E3%82%92%E7%94%A8%E3%81%84%E3%81%9F%E5%AE%9F%E8%A1%8C-(%E6%8E%A8%E5%A5%A8)" aria-hidden="true"></a> バイナリを用いた実行 (推奨)</h3>
<p>Windows, Linux(Ubuntu) 用のバイナリを GitHub の Releases で公開しています。<br>
遷移先のページからバイナリをダウンロードして実行してください。</p>
<p><img src="https://storage.googleapis.com/zenn-user-upload/0b5de7e07939-20231125.png" loading="lazy" class="md-img"></p>
<aside class="msg message"><span class="msg-symbol">!</span><div class="msg-content">
<p>Windows Security など一部のアンチウイルスソフトウェアによって検知される場合があります。<br>
これは、Python コードを実行ファイルにコンパイルする <strong>Nuitka</strong> を利用していることに起因します。</p>
<p>不安に思う方は後述の <strong>ソースコードからインストール</strong> を参照するか、隔離された仮想環境上で実行してください。</p>
</div></aside>
<p><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__0887e0bd6e7a8" src="https://embed.zenn.studio/card#zenn-embedded__0887e0bd6e7a8" data-content="https%3A%2F%2Fgithub.com%2Fsumeshi%2Fntfsdump%2Freleases" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://github.com/sumeshi/ntfsdump/releases" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://github.com/sumeshi/ntfsdump/releases</a><br style="display:none">
<span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__99e927378e717" src="https://embed.zenn.studio/card#zenn-embedded__99e927378e717" data-content="https%3A%2F%2Fgithub.com%2Fsumeshi%2Fntfsfind%2Freleases" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://github.com/sumeshi/ntfsfind/releases" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://github.com/sumeshi/ntfsfind/releases</a></p>
<h3 id="pypi-%E3%81%8B%E3%82%89%E3%81%AE%E3%82%A4%E3%83%B3%E3%82%B9%E3%83%88%E3%83%BC%E3%83%AB-(%E6%8E%A8%E5%A5%A8)">
<a class="header-anchor-link" href="#pypi-%E3%81%8B%E3%82%89%E3%81%AE%E3%82%A4%E3%83%B3%E3%82%B9%E3%83%88%E3%83%BC%E3%83%AB-(%E6%8E%A8%E5%A5%A8)" aria-hidden="true"></a> PyPI からのインストール (推奨)</h3>
<p>Python3.11 以上をサポートしています。<br>
インストールする際は下記のコマンドを実行してください。</p>
<div class="code-block-container"><pre class="language-bash"><code class="language-bash">$ pip <span class="token function">install</span> ntfsdump ntfsfind
</code></pre></div><p><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__e9e9e8f10ecfd" src="https://embed.zenn.studio/card#zenn-embedded__e9e9e8f10ecfd" data-content="https%3A%2F%2Fpypi.org%2Fproject%2Fntfsdump%2F" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://pypi.org/project/ntfsdump/" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://pypi.org/project/ntfsdump/</a><br style="display:none">
<span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__39fe6a93fd3ad" src="https://embed.zenn.studio/card#zenn-embedded__39fe6a93fd3ad" data-content="https%3A%2F%2Fpypi.org%2Fproject%2Fntfsfind%2F" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://pypi.org/project/ntfsfind/" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://pypi.org/project/ntfsfind/</a></p>
<h3 id="%E3%82%BD%E3%83%BC%E3%82%B9%E3%82%B3%E3%83%BC%E3%83%89%E3%81%8B%E3%82%89%E3%82%A4%E3%83%B3%E3%82%B9%E3%83%88%E3%83%BC%E3%83%AB">
<a class="header-anchor-link" href="#%E3%82%BD%E3%83%BC%E3%82%B9%E3%82%B3%E3%83%BC%E3%83%89%E3%81%8B%E3%82%89%E3%82%A4%E3%83%B3%E3%82%B9%E3%83%88%E3%83%BC%E3%83%AB" aria-hidden="true"></a> ソースコードからインストール</h3>
<p>GitHub から直接ソースコードを入手して実行します。<br>
依存関係の管理に <strong>poetry</strong> を使用しているため、インストールの際はそちらをご利用ください。</p>
<div class="code-block-container"><pre class="language-bash"><code class="language-bash"><span class="token comment"># Download source code from GitHub</span>
$ <span class="token function">git</span> pull https://github.com/sumeshi/ntfsdump
$ <span class="token builtin class-name">cd</span> ntfsdump

<span class="token comment"># Install dependencies</span>
$ pip <span class="token function">install</span> poetry
$ poetry <span class="token function">install</span>

<span class="token comment"># Run command using poetry</span>
$ poetry run ntfsdump <span class="token parameter variable">-h</span>
</code></pre></div><h2 id="%E6%97%A2%E5%AD%98%E3%82%BD%E3%83%95%E3%83%88%E3%82%A6%E3%82%A7%E3%82%A2%E3%81%A8%E3%81%AE%E5%B7%AE%E7%95%B0">
<a class="header-anchor-link" href="#%E6%97%A2%E5%AD%98%E3%82%BD%E3%83%95%E3%83%88%E3%82%A6%E3%82%A7%E3%82%A2%E3%81%A8%E3%81%AE%E5%B7%AE%E7%95%B0" aria-hidden="true"></a> 既存ソフトウェアとの差異</h2>
<p>Autopsy や FTK Imager などのソフトウェアを使用すると、ファイルツリーを見ながらGUIで抽出が可能です。<br>
また、CUIツールでは多機能な SleuthKit などが有名です。</p>
<p>それらのソフトウェアと比較すると <strong>ntfsdump</strong>, <strong>ntfsfind</strong> の機能は限定されているように見えますが、<br>
2つのツールの目的は統合的なフォレンジックツールではなく、バイナリ1つで役目をこなせるミニマルなツールです。</p>
<p>調査の自動化や, ちょっとした確認のためにこれらのツールが役にたてば嬉しいです。</p>
<h2 id="%E3%82%B3%E3%83%B3%E3%83%88%E3%83%AA%E3%83%93%E3%83%A5%E3%83%BC%E3%82%B7%E3%83%A7%E3%83%B3">
<a class="header-anchor-link" href="#%E3%82%B3%E3%83%B3%E3%83%88%E3%83%AA%E3%83%93%E3%83%A5%E3%83%BC%E3%82%B7%E3%83%A7%E3%83%B3" aria-hidden="true"></a> コントリビューション</h2>
<p><strong>ntfsdump</strong>, <strong>ntfsfind</strong> は開発中のツールです。<br>
もしあなたがこのプロダクトに興味があるなら、GitHub で issues, pull requests を送ってくれれば嬉しいです。</p>


ntfsdump, ntfsfind を用いたイメージファイルからのアーティファクト抽出

PyPI からのインストール (推奨)

ソースコードからインストール

python

Discussion