[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[port139ml:02925] Re: Forensic Workstations (was: システム侵害調査マニュアル)
- To: port139ml@xxxxxxxxxxxxx
- Subject: [port139ml:02925] Re: Forensic Workstations (was: システム侵害調査マニュアル)
- From: Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
- Date: Fri, 04 Apr 2003 17:34:17 +0900
Port139 伊原です。
がんがん噛んでと言っておきながら、恐竜並みの反応ですんません(^^;;
On Mon, 24 Mar 2003 20:15:19 +0900
Hiroaki TERASHIMA <terashima.hiroaki@xxxxxxxxxxxx> wrote:
>同時にそこまで考えてシステム組んでいるところがどれくらいあるんだろう
>とも思いました。
私も過去に組んだのは考えてませんでしたから、これから組むのであれば
考えておいた方がいいですよね。
例えばシステム領域とデータ領域は分ける、というのは以前から言われて
いますが、システム領域のサイズはなるべく大きくしない、というのはあ
まり言われませんよね。
>が、ddでDisk Imageをコピーすることを考えると、どでかいDiskやDVD-Rとか
>のバックアップメディアが必要なんですかね?
イメージの取得時間を考慮すると、HDD へ出力させた方が断然早いと思い
ます。
調査対象の HDD サイズによりますが、現地で CD-R へ焼くのは無理現実
問題無理な気がしています。
HDD へいったんイメージを作成し、その後 原本 と 解析用 で複製して
から CD-R へも焼くとかでしょうか。HDD、原本、解析用 が同じかどうか
は技術的にはハッシュ値でチェックということになると思います。
>これをみるとForensicするのに私のNotePC一台では役不足だと感じますね。
データの取得と解析とでちょっと役割が異なってきますよね。
日頃利用している Note PC を証拠保全に利用するとなるとその PC が
そもそも安全か?という問題が出るかと思います。
ただ、日常の調査であればとりあえずでっかい HDD を取り付けてあれ
ばディスクイメージを取得できますからなんとかなるかと思います。
# 調査開始前に HDD は wipe しておくとして。
>伊原さんちに一個くらい転がってないっすか? < Forensic Workstation
残念ながら転がってません(^^;;
ハード買うお金あったら EnCase 買いたいです...
--
Port139 セミナー セキュア サーバ構築 〜Windows 2000編〜
東京会場(4月18日)参加者募集中!
http://www.port139.co.jp/seminar/seminar_030418.htm
Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/