インシデントレスポンス(初期対応・証拠保全)


カテゴリー: Tips | 投稿日: | 投稿者: -->

「インシデントレスポンス」ということで、バックアップ作成までやってみた。

■概要
障害機器を保全・解析のため、ディスクバックアップを行う。
調査対象機器を直接操作すると、システム関連の情報が書き換わる可能性がある。
障害の状況を保持したまま調査するため、USBブートのOSを使用し、外付けHDDにディスクバックアップを行う。

■前提
フォレンジック用OS「DEFT Linux v5.1」
調査対象機器「DELL VOSTRO 1000」
解析用PC「Windows XP」

■手順
手順は以下のとおり。

(1)フォレンジック用OS「DEFT Linux」のUSBブート版を作成する
(2)DEFT Linuxを起動する
(3)解析用PCからDEFT Linux(調査対象機器)へSSHでログインする
(4)外付けHDDにディスクバックアップを行う

手順の詳細は、以下のとおり。

(1)フォレンジック用OS「DEFT Linux」のUSBブート版を作成する
【解析用PCにて】
以下から最新版のDEFT Linuxをダウンロードする。
http://www.deftlinux.net/
今回は、USB版である「deftpen5.1.dd」(971MB)を利用する。

以下から最新版のDDforWindowsをダウンロードする。
http://www.si-linux.co.jp/wiki/silinux/index.php?DDforWindows
今回は、「DDWin_Ver0996.zip」を利用する。

DDforWindowsを起動し、「ディスク選択」でUSBドライブを指定する。
「ファイル選択」で、「deftpen5.1.dd」を指定する。
指定後、「書込」ボタンを押下する。


⇒これにより、フォレンジック用OS「DEFT Linux」のUSBブート版が作成される。

解析用PC(Windows XP)のIPアドレスを「192.169.0.100」にする。

(2)DEFT Linuxを起動する
【調査対象機器にて】
調査対象機器のUSBポートに、ブート用USB(DEFT Linux)を挿す。
調査対象機器の電源を入れ、「F12」ボタンを押下し、Boot Menuを起動する。
Boot Menuブートメニューの起動デバイスにて、「USB-ZIP」を選択する。
Language画面にて、「日本語」を選択する。
起動画面にて、「Start DEFT Linux v5.1」を選択する。

Linux deft 2.6.31-14-generic #48-Ubuntu SMP Fri Oct 16 14:04:26 UTC 2009 i686

  ##################################################################
  ##################################################################
  ##                                                              ##
  ##                   Welcome to DEFT Linux v5x                  ##
  ##                                                              ##
  ##                                                              ##
  ##        DEFT comes with ABSOLUTELY NO WARRANTY, to the        ##
  ##             extent permitted by applicable law.              ##
  ##                                                              ##
  ##                                                              ##
  ##                     www.deftlinux.net                        ##
  ##                                                              ##
  ##################################################################
  ##################################################################

  To access official DEFT support forum, please visit:
  http://forum.deftlinux.net

  If you find a bug, use DEFT forum or e-mail to:
  bug@deftlinux.net

  Exec startx if you need DEFT in graphical mode!

root@deft:~#

⇒これにより、日本語対応のDEFT Linuxが起動する

(3)解析用PCからDEFT Linux(調査対象機器)へSSHでログインする
【DEFT Linux(調査対象機器)】
LANケーブルで、調査対象機器と解析用PCを直結する。
直結後、ログからリンクアップしたインタフェース名を確認する。

root@deft:~# dmesg | tail
(省略)
[  321.000231] b44: eth2: Link is up at 100 Mbps, full duplex.
[  321.000241] b44: eth2: Flow control is off for TX and off for RX.
root@deft:~#

⇒これにより、インタフェース名が「eth2」であることがわかる

SSHでログイン可能にする。

root@deft:~# ifconfig eth2 192.168.0.200/24
root@deft:~#
root@deft:~# /etc/init.d/ssh start
 * Starting OpenBSD Secure Shell server sshd                                       [ OK ]
root@deft:~#
root@deft:~# passwd
Enter new UNIX password:
Retype new UNIX password:
passwd: password updated successfully
root@deft:~#

⇒これにより、指定したパスワードでDEFT Linux(調査対象機器)(192.168.0.200)へSSH接続が可能となる

(4)外付けHDDにディスクバックアップを行う
【解析用PC(Windows)】
SSH(Teraterm等)で、DEFT Linux(調査対象機器)(192.168.0.200)にログインする。

調査対象機器のUSBポートからキーボードを抜く。(USBポートの空きを作るため)
調査対象機器のUSBポートに外付けHDDを挿す。
外付けHDDを接続後、ログから接続したHDDのデバイス名を確認する。

root@deft:~# dmesg | tail
[ 1571.172901] scsi 7:0:0:0: Direct-Access              USB Reader       0001 PQ: 0 ANSI: 0 CCS
[ 1571.173978] sd 7:0:0:0: Attached scsi generic sg3 type 0
[ 1572.190789] sd 7:0:0:0: [sdc] 15724544 512-byte logical blocks: (8.05 GB/7.49 GiB)
[ 1572.191642] sd 7:0:0:0: [sdc] Write Protect is off
[ 1572.191650] sd 7:0:0:0: [sdc] Mode Sense: 03 00 00 00
[ 1572.191658] sd 7:0:0:0: [sdc] Assuming drive cache: write through
[ 1572.197387] sd 7:0:0:0: [sdc] Assuming drive cache: write through
[ 1572.197455]  sdc: sdc1
[ 1572.212793] sd 7:0:0:0: [sdc] Assuming drive cache: write through
[ 1572.212867] sd 7:0:0:0: [sdc] Attached SCSI removable disk
root@deft:~#

⇒これにより、デバイス名が「sdc1」であることがわかる。

外付けHDDをマウントする。

root@deft:~# mkdir /mnt/usb
root@deft:~#
root@deft:~# mount /dev/sdc1 /mnt/usb/
root@deft:~#
root@deft:~# mount
(省略)
/dev/sdc1 on /mnt/usb type vfat (rw)
root@deft:~#

⇒これにより、マウントできていることがわかる。

バックアップするディスクのデバイスを確認する。

root@deft:~# hdparm -i /dev/sda

/dev/sda:

 Model=Hitachi, FwRev=SB2OC7KP, SerialNo=SB22DBKGGVBS9N
 Config={ HardSect NotMFM HdSw>15uSec Fixed DTR>10Mbs }
 RawCHS=16383/16/63, TrkSize=0, SectSize=0, ECCbytes=4
 BuffType=DualPortCache, BuffSize=7516kB, MaxMultSect=16, MultSect=16
 CurCHS=16383/16/63, CurSects=16514064, LBA=yes, LBAsects=156301488
 IORDY=on/off, tPIO={min:120,w/IORDY:120}, tDMA={min:120,rec:120}
 PIO modes:  pio0 pio1 pio2 pio3 pio4
 DMA modes:  mdma0 mdma1 mdma2
 UDMA modes: udma0 udma1 udma2 udma3 udma4 *udma5
 AdvancedPM=yes: mode=0x80 (128) WriteCache=enabled
 Drive conforms to: ATA/ATAPI-7 T13 1532D revision 1:  ATA/ATAPI-2,3,4,5,6,7

 * signifies the current active mode

root@deft:~#

⇒これにより、デバイス名「sda」が内臓HDDであることがわかる。

外付けHDDにディスクバックアップを行う。

root@deft:~# dcfldd if=/dev/sda conv=noerror hash=md5 hashconv=before | tee /mnt/usb/sda.dd | md5sum > /mnt/usb/sda.md5.txt
2560000 blocks (80026Mb) written.Total (md5): b862e98d26c9daa82b0fcca0c1c7d61d

2560000+1 records in
2560000+1 records out
root@deft:~#
root@deft:~# cat /mnt/usb/sda.md5.txt
b862e98d26c9daa82b0fcca0c1c7d61d  -
root@deft:~#

⇒これにより、バックアップファイル名「/mnt/usb/sda.dd」が保存される。
⇒「/dev/sda」のMD5値と「/mnt/usb/sda.dd」が同一であることから、正常にバックアップできていることがわかる。
⇒実測値で、約500MB/分の転送量だった(80GB÷(0.5GB/分)=160分)

以上

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です