SlideShare a Scribd company logo

本当は怖いデータ復元

Download as PPTX, PDF
f kasasagi
f kasasagi

フォレンジック

Technology
1 of 25
本当は怖いデータ復元 Windows編(NTFS) kasasagi
目次 ・本当は怖いデータ復元? ・一緒にするなデータ復元 ・データの削除ってなーに? ・MFTベースの復元について(第1の復元) ・データカーブについて(第2の復元) ・まとめ
本当は怖いデータ復元?
本当は怖いデータ復元? データ復元の方法は複数ありますが、世の中では一緒くたに「データ復元」とされています。 しかし、復元の方法によって精度(復元できる情報)の差や注意点などがあり、本当にその 復元で自分の目的が果たせるか確認する必要があります。 そうしないと、ツールを買ったり業者に出してもファイル名不明の謎ファイルを1万個レ ビューすることになるかも、、、、、仕組みを理解して必要な復元をしましょう
一緒にするなデータ復元 ・MFTベースの復元(第1の復元) ・データカーブについて(第2の復元) ・データカーブされたレコード情報ベースの復元(第3の復元) ・VSSによる復元(第4の復元) ・アプリケーションデータの復元(第5の復元) ・物理ディスクの修理(第6の復元) 色々あるけど、今日は2つピックアップ 論理の世界 物理の世界
データの削除ってなーに?
復元を語る前に、データの削除とはなんだろう。。。 本当にデータが消えるのはどのタイミング? ・ゴミ箱行き ・ゴミ箱から消した時 ・SHIFT+DELETEでファイルを消した時 ・ママ(もしくは彼女)が隠されたフォルダを発見した時 ・私が死ぬ時 データの削除ってなーに?
データの削除ってなーに? じゃあ、いつ消えるの データが上書きされる時でしょ
データの削除ってなーに? じゃいつもOS上でやってる消去ってなによ そのためにはまずWindowsのファイルシステムで あるNTFSのファイル管理をしているMFTの仕組 みから話さねばなりますまい
MFTベースの復元(第1の復元)
NTFSのファイル管理をしている MFTについて 現行のWindowsのファイルシステムはNTFS そのNTFSのファイル管理の要が$MFT MFTとは何か ?
$MFT MFTは本の目次 WindowsのファイルシステムNTFSにおいては、ファイルは$MFTという場所(ファイル)上で「 レコード」という単位で管理されています。 本に例えると、この「レコード」とは目次であり、OSがファイルを探す際は、まずこの目次を 確認して、実データ(ファイル)の場所を調べてから実際のファイルにアクセスします。 レコード情報 ファイル名 ファイルが 実際にある場所
OS的にファイルの削除とは 本の目次に横線を引くこと →そのページをめくれば、中身は書いてある データ領域 4ページ ちょこっとメタボ MFT
OS的にファイルの削除とは 削除されると、書き込み可能になる ここ、空いてますよMFT
OS的にファイルの削除とは 何らかのファイルがこの現在書き込み可能な削除さ れた領域を一部使用するとファイルはこうなる 4ページ 微笑みの老人・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・3,4 データ領域MFT
OS的にファイルの削除とは 完全に上書きされると、以前そこにあったものは、完全に 消去されるこの段階ではじめてデータが完全に消える 3,4ページ 微笑みの老人・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・3,4 データ領域MFT
実際はこんな感じ ここが0だと削除 レコード ファイル名
MFTベースの復元の特徴 まとめると、MFTのレコードにはファイルの名前や場所などが書いてあって、 ファイルが削除されても情報は暫くは残っているので、赤線が引いてあるレ コードを探してその実データを見に行けば復元できる この赤い線を探して、 何ページにあるか見れば良い
MFTベースの復元の特徴 長所:ファイル名がわかる、ファイルが断片化していても復元可能、 復元時間が早い 短所:MFT上からレコードが消えると復元不能 ※ちなみに、このMFTなどをブッ飛ばすのがフォーマット。 フォーマットするとMFTベースの復元はできなくなりますが、 次に紹介する「データカーブ」で復元可能です。 (フォーマットにも種類があり、必ずしもその限りではありませんが)
データカーブについて(第2の復元)
データーカーブってなーに? データカーブってなーにー そのためにはまずファイルの構造について話さ ねばなりますまい
ファイルの構造について ファイルというのは、種類ごとに決まった構造を持っています。 例えば、PDFのデータ領域は、16進数だと「25 50 44 46」(ASCIIだと 「%PDF」)で始まります。 先ほどの目次で調べたページの中身 ファイル名 データ
データカーブとは ハードディスクの中身をバイナリレベルで上から調べていって、特定ファイ ルのファイル構造に当てはまる(&PDFのように特定の記述から始まり、特 定の記述で終わるなど)ファイルを、その種類のファイルだとして取り出す 復元方法 &PDF〜 フッダ 見つけたら何らかの PDFとして取り出す 1.pdf 2.pdf
データカーブの特徴 長所:MFTからレコード情報が消えていても復元できる(フォーマットされてい ても復元できる) 短所:ファイルが断片化していると復元できない、復元に時間がかかる、多く の場合ファイル名がわからない、さも復元された顔でゴミが沢山生まれる
まとめ ・消してすぐならば、MFTベースの軽い復元で完全復元できる可能性が高い ・MFTベースで復元できない場合は、データカーブで復元できる可能性がある ・データカーブすると、名前がわからない&誤復元のゴミファイルが沢山出る のでどれが目的のファイルか探すために地獄を見る 消したらすぐにMFTベースの復元を!それでもダメなら、大量のファイルを 丸1日レビューするくらいの覚悟がある時のみデータカーブしろ!!

Recommended

ネットワーク機器のAPIあれこれ入門 (NetOpsCoding#2)
ネットワーク機器のAPIあれこれ入門 (NetOpsCoding#2)ネットワーク機器のAPIあれこれ入門 (NetOpsCoding#2)
ネットワーク機器のAPIあれこれ入門 (NetOpsCoding#2)
Kentaro Ebisawa
 
DNS再入門
DNS再入門DNS再入門
DNS再入門
Takashi Takizawa
 
Wireshark だけに頼らない! パケット解析ツールの紹介
Wireshark だけに頼らない! パケット解析ツールの紹介Wireshark だけに頼らない! パケット解析ツールの紹介
Wireshark だけに頼らない! パケット解析ツールの紹介
morihisa
 
プロが解説!Hinemosによる運用管理テクニック!
プロが解説!Hinemosによる運用管理テクニック!プロが解説!Hinemosによる運用管理テクニック!
プロが解説!Hinemosによる運用管理テクニック!
hinemos_atomitech
 
WebSocket / WebRTCの技術紹介
WebSocket / WebRTCの技術紹介WebSocket / WebRTCの技術紹介
WebSocket / WebRTCの技術紹介
Yasuhiro Mawarimichi
 
RHEL7/CentOS7 NetworkManager徹底入門
RHEL7/CentOS7 NetworkManager徹底入門RHEL7/CentOS7 NetworkManager徹底入門
RHEL7/CentOS7 NetworkManager徹底入門
Etsuji Nakai
 
ファイルシステム比較
ファイルシステム比較ファイルシステム比較
ファイルシステム比較
NaoyaFukuda
 
OSC2012Kansai@Kyoto 自宅SAN友の会 - インフラエンジニアなら知っておきたい ストレージのはなし
OSC2012Kansai@Kyoto 自宅SAN友の会 - インフラエンジニアなら知っておきたい ストレージのはなしOSC2012Kansai@Kyoto 自宅SAN友の会 - インフラエンジニアなら知っておきたい ストレージのはなし
OSC2012Kansai@Kyoto 自宅SAN友の会 - インフラエンジニアなら知っておきたい ストレージのはなし
Satoshi Shimazaki
 

Recommended

ネットワーク機器のAPIあれこれ入門 (NetOpsCoding#2)
ネットワーク機器のAPIあれこれ入門 (NetOpsCoding#2)ネットワーク機器のAPIあれこれ入門 (NetOpsCoding#2)
ネットワーク機器のAPIあれこれ入門 (NetOpsCoding#2)
Kentaro Ebisawa
 
DNS再入門
DNS再入門DNS再入門
DNS再入門
Takashi Takizawa
 
Wireshark だけに頼らない! パケット解析ツールの紹介
Wireshark だけに頼らない! パケット解析ツールの紹介Wireshark だけに頼らない! パケット解析ツールの紹介
Wireshark だけに頼らない! パケット解析ツールの紹介
morihisa
 
プロが解説!Hinemosによる運用管理テクニック!
プロが解説!Hinemosによる運用管理テクニック!プロが解説!Hinemosによる運用管理テクニック!
プロが解説!Hinemosによる運用管理テクニック!
hinemos_atomitech
 
WebSocket / WebRTCの技術紹介
WebSocket / WebRTCの技術紹介WebSocket / WebRTCの技術紹介
WebSocket / WebRTCの技術紹介
Yasuhiro Mawarimichi
 
RHEL7/CentOS7 NetworkManager徹底入門
RHEL7/CentOS7 NetworkManager徹底入門RHEL7/CentOS7 NetworkManager徹底入門
RHEL7/CentOS7 NetworkManager徹底入門
Etsuji Nakai
 
ファイルシステム比較
ファイルシステム比較ファイルシステム比較
ファイルシステム比較
NaoyaFukuda
 
OSC2012Kansai@Kyoto 自宅SAN友の会 - インフラエンジニアなら知っておきたい ストレージのはなし
OSC2012Kansai@Kyoto 自宅SAN友の会 - インフラエンジニアなら知っておきたい ストレージのはなしOSC2012Kansai@Kyoto 自宅SAN友の会 - インフラエンジニアなら知っておきたい ストレージのはなし
OSC2012Kansai@Kyoto 自宅SAN友の会 - インフラエンジニアなら知っておきたい ストレージのはなし
Satoshi Shimazaki
 
仮想マシンにおけるメモリ管理
仮想マシンにおけるメモリ管理仮想マシンにおけるメモリ管理
仮想マシンにおけるメモリ管理
Akari Asai
 
パケットキャプチャの勘どころ Ssmjp 201501
パケットキャプチャの勘どころ Ssmjp 201501パケットキャプチャの勘どころ Ssmjp 201501
パケットキャプチャの勘どころ Ssmjp 201501
稔 小林
 
高負荷に耐えうるWebApplication Serverの作り方
高負荷に耐えうるWebApplication Serverの作り方高負荷に耐えうるWebApplication Serverの作り方
高負荷に耐えうるWebApplication Serverの作り方
GMO-Z.com Vietnam Lab Center
 
Web Uygulamalarında Kaynak Kod Analizi - 1
Web Uygulamalarında Kaynak Kod Analizi - 1Web Uygulamalarında Kaynak Kod Analizi - 1
Web Uygulamalarında Kaynak Kod Analizi - 1
Mehmet Ince
 
Linux Kernel - Virtual File System
Linux Kernel - Virtual File SystemLinux Kernel - Virtual File System
Linux Kernel - Virtual File System
Adrian Huang
 
Jbossとtomcatの性能を比べてみた
Jbossとtomcatの性能を比べてみたJbossとtomcatの性能を比べてみた
Jbossとtomcatの性能を比べてみた
Yuki Obara
 
WebRTC SFU Mediasoup Sample update
WebRTC SFU Mediasoup Sample updateWebRTC SFU Mediasoup Sample update
WebRTC SFU Mediasoup Sample update
mganeko
 
Ansible ではじめる ネットワーク自動化(Ansible 2.9版)
Ansible ではじめる ネットワーク自動化(Ansible 2.9版)Ansible ではじめる ネットワーク自動化(Ansible 2.9版)
Ansible ではじめる ネットワーク自動化(Ansible 2.9版)
akira6592
 
インフラエンジニアの綺麗で優しい手順書の書き方
インフラエンジニアの綺麗で優しい手順書の書き方インフラエンジニアの綺麗で優しい手順書の書き方
インフラエンジニアの綺麗で優しい手順書の書き方
Shohei Koyama
 
最速・最短・最簡単でKubernetesを始めるハウツー with k0s
最速・最短・最簡単でKubernetesを始めるハウツー with k0s最速・最短・最簡単でKubernetesを始めるハウツー with k0s
最速・最短・最簡単でKubernetesを始めるハウツー with k0s
Kamon Nobuchika
 
MySQL Parallel Replication by Booking.com
MySQL Parallel Replication by Booking.comMySQL Parallel Replication by Booking.com
MySQL Parallel Replication by Booking.com
Jean-François Gagné
 
Benchmarking NGINX for Accuracy and Results
Benchmarking NGINX for Accuracy and ResultsBenchmarking NGINX for Accuracy and Results
Benchmarking NGINX for Accuracy and Results
NGINX, Inc.
 
HTTP2入門
HTTP2入門HTTP2入門
HTTP2入門
Sota Sugiura
 
MySQL InnoDB Clusterによる高可用性構成(DB Tech Showcase 2017)
MySQL InnoDB Clusterによる高可用性構成(DB Tech Showcase 2017)MySQL InnoDB Clusterによる高可用性構成(DB Tech Showcase 2017)
MySQL InnoDB Clusterによる高可用性構成(DB Tech Showcase 2017)
Shinya Sugiyama
 
Grafana Lokiの Docker Logging Driver入門 (Docker Meetup Tokyo #34, 2020/01/16)
Grafana Lokiの Docker Logging Driver入門 (Docker Meetup Tokyo #34, 2020/01/16)Grafana Lokiの Docker Logging Driver入門 (Docker Meetup Tokyo #34, 2020/01/16)
Grafana Lokiの Docker Logging Driver入門 (Docker Meetup Tokyo #34, 2020/01/16)
NTT DATA Technology & Innovation
 
Dockerイメージ管理の内部構造
Dockerイメージ管理の内部構造Dockerイメージ管理の内部構造
Dockerイメージ管理の内部構造
Etsuji Nakai
 
Implementing SSH in Java
Implementing SSH in JavaImplementing SSH in Java
Implementing SSH in Java
Atsuhiko Yamanaka
 
vSphere環境での自動化とテスト
vSphere環境での自動化とテストvSphere環境での自動化とテスト
vSphere環境での自動化とテスト
富士通クラウドテクノロジーズ株式会社
 
RHEVM - Live Storage Migration
RHEVM - Live Storage MigrationRHEVM - Live Storage Migration
RHEVM - Live Storage Migration
Raz Tamir
 
プランニングポーカーではじめる工数見積りと計画づくり
プランニングポーカーではじめる工数見積りと計画づくりプランニングポーカーではじめる工数見積りと計画づくり
プランニングポーカーではじめる工数見積りと計画づくり
Reimi Kuramochi Chiba
 

More Related Content

What's hot

Web Uygulamalarında Kaynak Kod Analizi - 1
Web Uygulamalarında Kaynak Kod Analizi - 1Web Uygulamalarında Kaynak Kod Analizi - 1
Web Uygulamalarında Kaynak Kod Analizi - 1
Mehmet Ince
 
最速・最短・最簡単でKubernetesを始めるハウツー with k0s
最速・最短・最簡単でKubernetesを始めるハウツー with k0s最速・最短・最簡単でKubernetesを始めるハウツー with k0s
最速・最短・最簡単でKubernetesを始めるハウツー with k0s
Kamon Nobuchika
 

What's hot (20)

仮想マシンにおけるメモリ管理
仮想マシンにおけるメモリ管理仮想マシンにおけるメモリ管理
仮想マシンにおけるメモリ管理
 
パケットキャプチャの勘どころ Ssmjp 201501
パケットキャプチャの勘どころ Ssmjp 201501パケットキャプチャの勘どころ Ssmjp 201501
パケットキャプチャの勘どころ Ssmjp 201501
 
高負荷に耐えうるWebApplication Serverの作り方
高負荷に耐えうるWebApplication Serverの作り方高負荷に耐えうるWebApplication Serverの作り方
高負荷に耐えうるWebApplication Serverの作り方
 
Web Uygulamalarında Kaynak Kod Analizi - 1
Web Uygulamalarında Kaynak Kod Analizi - 1Web Uygulamalarında Kaynak Kod Analizi - 1
Web Uygulamalarında Kaynak Kod Analizi - 1
 
Linux Kernel - Virtual File System
Linux Kernel - Virtual File SystemLinux Kernel - Virtual File System
Linux Kernel - Virtual File System
 
Jbossとtomcatの性能を比べてみた
Jbossとtomcatの性能を比べてみたJbossとtomcatの性能を比べてみた
Jbossとtomcatの性能を比べてみた
 
WebRTC SFU Mediasoup Sample update
WebRTC SFU Mediasoup Sample updateWebRTC SFU Mediasoup Sample update
WebRTC SFU Mediasoup Sample update
 
Ansible ではじめる ネットワーク自動化(Ansible 2.9版)
Ansible ではじめる ネットワーク自動化(Ansible 2.9版)Ansible ではじめる ネットワーク自動化(Ansible 2.9版)
Ansible ではじめる ネットワーク自動化(Ansible 2.9版)
 
インフラエンジニアの綺麗で優しい手順書の書き方
インフラエンジニアの綺麗で優しい手順書の書き方インフラエンジニアの綺麗で優しい手順書の書き方
インフラエンジニアの綺麗で優しい手順書の書き方
 
最速・最短・最簡単でKubernetesを始めるハウツー with k0s
最速・最短・最簡単でKubernetesを始めるハウツー with k0s最速・最短・最簡単でKubernetesを始めるハウツー with k0s
最速・最短・最簡単でKubernetesを始めるハウツー with k0s
 
MySQL Parallel Replication by Booking.com
MySQL Parallel Replication by Booking.comMySQL Parallel Replication by Booking.com
MySQL Parallel Replication by Booking.com
 
Benchmarking NGINX for Accuracy and Results
Benchmarking NGINX for Accuracy and ResultsBenchmarking NGINX for Accuracy and Results
Benchmarking NGINX for Accuracy and Results
 
HTTP2入門
HTTP2入門HTTP2入門
HTTP2入門
 
MySQL InnoDB Clusterによる高可用性構成(DB Tech Showcase 2017)
MySQL InnoDB Clusterによる高可用性構成(DB Tech Showcase 2017)MySQL InnoDB Clusterによる高可用性構成(DB Tech Showcase 2017)
MySQL InnoDB Clusterによる高可用性構成(DB Tech Showcase 2017)
 
Grafana Lokiの Docker Logging Driver入門 (Docker Meetup Tokyo #34, 2020/01/16)
Grafana Lokiの Docker Logging Driver入門 (Docker Meetup Tokyo #34, 2020/01/16)Grafana Lokiの Docker Logging Driver入門 (Docker Meetup Tokyo #34, 2020/01/16)
Grafana Lokiの Docker Logging Driver入門 (Docker Meetup Tokyo #34, 2020/01/16)
 
Dockerイメージ管理の内部構造
Dockerイメージ管理の内部構造Dockerイメージ管理の内部構造
Dockerイメージ管理の内部構造
 
Implementing SSH in Java
Implementing SSH in JavaImplementing SSH in Java
Implementing SSH in Java
 
vSphere環境での自動化とテスト
vSphere環境での自動化とテストvSphere環境での自動化とテスト
vSphere環境での自動化とテスト
 
RHEVM - Live Storage Migration
RHEVM - Live Storage MigrationRHEVM - Live Storage Migration
RHEVM - Live Storage Migration
 
プランニングポーカーではじめる工数見積りと計画づくり
プランニングポーカーではじめる工数見積りと計画づくりプランニングポーカーではじめる工数見積りと計画づくり
プランニングポーカーではじめる工数見積りと計画づくり
 

本当は怖いデータ復元

Editor's Notes

  1. 実際はもっとあります
  2. データの復元を語る前に削除ってないよってお話
  3. フッダーは特定の記述である場合もあれば、一定の長さで切る場合もある