Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.
本当は怖いデータ復元
Windows編(NTFS)
kasasagi
目次
・本当は怖いデータ復元?
・一緒にするなデータ復元
・データの削除ってなーに?
・MFTベースの復元について(第1の復元)
・データカーブについて(第2の復元)
・まとめ
本当は怖いデータ復元?
本当は怖いデータ復元?
データ復元の方法は複数ありますが、世の中では一緒くたに「データ復元」とされています。
しかし、復元の方法によって精度(復元できる情報)の差や注意点などがあり、本当にその
復元で自分の目的が果たせるか確認する必要があります...
一緒にするなデータ復元
・MFTベースの復元(第1の復元)
・データカーブについて(第2の復元)
・データカーブされたレコード情報ベースの復元(第3の復元)
・VSSによる復元(第4の復元)
・アプリケーションデータの復元(第5の復元)
・物理...
データの削除ってなーに?
復元を語る前に、データの削除とはなんだろう。。。
本当にデータが消えるのはどのタイミング?
・ゴミ箱行き
・ゴミ箱から消した時
・SHIFT+DELETEでファイルを消した時
・ママ(もしくは彼女)が隠されたフォルダを発見した時
・私が死ぬ時
...
データの削除ってなーに?
じゃあ、いつ消えるの
データが上書きされる時でしょ
データの削除ってなーに?
じゃいつもOS上でやってる消去ってなによ
そのためにはまずWindowsのファイルシステムで
あるNTFSのファイル管理をしているMFTの仕組
みから話さねばなりますまい
MFTベースの復元(第1の復元)
NTFSのファイル管理をしている
MFTについて
現行のWindowsのファイルシステムはNTFS
そのNTFSのファイル管理の要が$MFT
MFTとは何か
?
$MFT
MFTは本の目次
WindowsのファイルシステムNTFSにおいては、ファイルは$MFTという場所(ファイル)上で「
レコード」という単位で管理されています。
本に例えると、この「レコード」とは目次であり、OSがファイルを探す際は、ま...
OS的にファイルの削除とは
本の目次に横線を引くこと
→そのページをめくれば、中身は書いてある
データ領域
4ページ
ちょこっとメタボ
MFT
OS的にファイルの削除とは
削除されると、書き込み可能になる
ここ、空いてますよMFT
OS的にファイルの削除とは
何らかのファイルがこの現在書き込み可能な削除さ
れた領域を一部使用するとファイルはこうなる
4ページ
微笑みの老人・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・3,4
データ領域...
OS的にファイルの削除とは
完全に上書きされると、以前そこにあったものは、完全に
消去されるこの段階ではじめてデータが完全に消える
3,4ページ
微笑みの老人・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・...
実際はこんな感じ
ここが0だと削除
レコード
ファイル名
MFTベースの復元の特徴
まとめると、MFTのレコードにはファイルの名前や場所などが書いてあって、
ファイルが削除されても情報は暫くは残っているので、赤線が引いてあるレ
コードを探してその実データを見に行けば復元できる
この赤い線を探して、
何...
MFTベースの復元の特徴
長所:ファイル名がわかる、ファイルが断片化していても復元可能、
復元時間が早い
短所:MFT上からレコードが消えると復元不能
※ちなみに、このMFTなどをブッ飛ばすのがフォーマット。
フォーマットするとMFTベースの復...
データカーブについて(第2の復元)
データーカーブってなーに?
データカーブってなーにー
そのためにはまずファイルの構造について話さ
ねばなりますまい
ファイルの構造について
ファイルというのは、種類ごとに決まった構造を持っています。
例えば、PDFのデータ領域は、16進数だと「25 50 44 46」(ASCIIだと
「%PDF」)で始まります。 先ほどの目次で調べたページの中身
ファイル名...
データカーブとは
ハードディスクの中身をバイナリレベルで上から調べていって、特定ファイ
ルのファイル構造に当てはまる(&PDFのように特定の記述から始まり、特
定の記述で終わるなど)ファイルを、その種類のファイルだとして取り出す
復元方法
&P...
データカーブの特徴
長所:MFTからレコード情報が消えていても復元できる(フォーマットされてい
ても復元できる)
短所:ファイルが断片化していると復元できない、復元に時間がかかる、多く
の場合ファイル名がわからない、さも復元された顔でゴミが沢山...
まとめ
・消してすぐならば、MFTベースの軽い復元で完全復元できる可能性が高い
・MFTベースで復元できない場合は、データカーブで復元できる可能性がある
・データカーブすると、名前がわからない&誤復元のゴミファイルが沢山出る
のでどれが目的のフ...
Nächste SlideShare
Wird geladen in …5
×

本当は怖いデータ復元

3.923 Aufrufe

Veröffentlicht am

フォレンジック

Veröffentlicht in: Technologie
  • Loggen Sie sich ein, um Kommentare anzuzeigen.

本当は怖いデータ復元

  1. 1. 本当は怖いデータ復元 Windows編(NTFS) kasasagi
  2. 2. 目次 ・本当は怖いデータ復元? ・一緒にするなデータ復元 ・データの削除ってなーに? ・MFTベースの復元について(第1の復元) ・データカーブについて(第2の復元) ・まとめ
  3. 3. 本当は怖いデータ復元?
  4. 4. 本当は怖いデータ復元? データ復元の方法は複数ありますが、世の中では一緒くたに「データ復元」とされています。 しかし、復元の方法によって精度(復元できる情報)の差や注意点などがあり、本当にその 復元で自分の目的が果たせるか確認する必要があります。 そうしないと、ツールを買ったり業者に出してもファイル名不明の謎ファイルを1万個レ ビューすることになるかも、、、、、仕組みを理解して必要な復元をしましょう
  5. 5. 一緒にするなデータ復元 ・MFTベースの復元(第1の復元) ・データカーブについて(第2の復元) ・データカーブされたレコード情報ベースの復元(第3の復元) ・VSSによる復元(第4の復元) ・アプリケーションデータの復元(第5の復元) ・物理ディスクの修理(第6の復元) 色々あるけど、今日は2つピックアップ 論理の世界 物理の世界
  6. 6. データの削除ってなーに?
  7. 7. 復元を語る前に、データの削除とはなんだろう。。。 本当にデータが消えるのはどのタイミング? ・ゴミ箱行き ・ゴミ箱から消した時 ・SHIFT+DELETEでファイルを消した時 ・ママ(もしくは彼女)が隠されたフォルダを発見した時 ・私が死ぬ時 データの削除ってなーに?
  8. 8. データの削除ってなーに? じゃあ、いつ消えるの データが上書きされる時でしょ
  9. 9. データの削除ってなーに? じゃいつもOS上でやってる消去ってなによ そのためにはまずWindowsのファイルシステムで あるNTFSのファイル管理をしているMFTの仕組 みから話さねばなりますまい
  10. 10. MFTベースの復元(第1の復元)
  11. 11. NTFSのファイル管理をしている MFTについて 現行のWindowsのファイルシステムはNTFS そのNTFSのファイル管理の要が$MFT MFTとは何か ?
  12. 12. $MFT MFTは本の目次 WindowsのファイルシステムNTFSにおいては、ファイルは$MFTという場所(ファイル)上で「 レコード」という単位で管理されています。 本に例えると、この「レコード」とは目次であり、OSがファイルを探す際は、まずこの目次を 確認して、実データ(ファイル)の場所を調べてから実際のファイルにアクセスします。 レコード情報 ファイル名 ファイルが 実際にある場所
  13. 13. OS的にファイルの削除とは 本の目次に横線を引くこと →そのページをめくれば、中身は書いてある データ領域 4ページ ちょこっとメタボ MFT
  14. 14. OS的にファイルの削除とは 削除されると、書き込み可能になる ここ、空いてますよMFT
  15. 15. OS的にファイルの削除とは 何らかのファイルがこの現在書き込み可能な削除さ れた領域を一部使用するとファイルはこうなる 4ページ 微笑みの老人・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・3,4 データ領域MFT
  16. 16. OS的にファイルの削除とは 完全に上書きされると、以前そこにあったものは、完全に 消去されるこの段階ではじめてデータが完全に消える 3,4ページ 微笑みの老人・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・3,4 データ領域MFT
  17. 17. 実際はこんな感じ ここが0だと削除 レコード ファイル名
  18. 18. MFTベースの復元の特徴 まとめると、MFTのレコードにはファイルの名前や場所などが書いてあって、 ファイルが削除されても情報は暫くは残っているので、赤線が引いてあるレ コードを探してその実データを見に行けば復元できる この赤い線を探して、 何ページにあるか見れば良い
  19. 19. MFTベースの復元の特徴 長所:ファイル名がわかる、ファイルが断片化していても復元可能、 復元時間が早い 短所:MFT上からレコードが消えると復元不能 ※ちなみに、このMFTなどをブッ飛ばすのがフォーマット。 フォーマットするとMFTベースの復元はできなくなりますが、 次に紹介する「データカーブ」で復元可能です。 (フォーマットにも種類があり、必ずしもその限りではありませんが)
  20. 20. データカーブについて(第2の復元)
  21. 21. データーカーブってなーに? データカーブってなーにー そのためにはまずファイルの構造について話さ ねばなりますまい
  22. 22. ファイルの構造について ファイルというのは、種類ごとに決まった構造を持っています。 例えば、PDFのデータ領域は、16進数だと「25 50 44 46」(ASCIIだと 「%PDF」)で始まります。 先ほどの目次で調べたページの中身 ファイル名 データ
  23. 23. データカーブとは ハードディスクの中身をバイナリレベルで上から調べていって、特定ファイ ルのファイル構造に当てはまる(&PDFのように特定の記述から始まり、特 定の記述で終わるなど)ファイルを、その種類のファイルだとして取り出す 復元方法 &PDF〜 フッダ 見つけたら何らかの PDFとして取り出す 1.pdf 2.pdf
  24. 24. データカーブの特徴 長所:MFTからレコード情報が消えていても復元できる(フォーマットされてい ても復元できる) 短所:ファイルが断片化していると復元できない、復元に時間がかかる、多く の場合ファイル名がわからない、さも復元された顔でゴミが沢山生まれる
  25. 25. まとめ ・消してすぐならば、MFTベースの軽い復元で完全復元できる可能性が高い ・MFTベースで復元できない場合は、データカーブで復元できる可能性がある ・データカーブすると、名前がわからない&誤復元のゴミファイルが沢山出る のでどれが目的のファイルか探すために地獄を見る 消したらすぐにMFTベースの復元を!それでもダメなら、大量のファイルを 丸1日レビューするくらいの覚悟がある時のみデータカーブしろ!!

×