ごちゃごちゃしたIT勉強記録

自分用メモ。セキュリティ関連の内容を書いてます。

30日OS自作入門-番外編その1 FTK Imagerを使ったイメージファイルの読み込み-

本編とは関係ないのですが、ちょっと自分が使っているツールの紹介をば。

 

まだ3日目ですが、作成したイメージファイルの中身の構造がどうなっているのかを知りたい際には、FTK Imagerというツールがおすすめです。

Windows上でのみ動くツールですが、イメージファイルの簡易的な解析には非常に使えます。まぁ、このツール自体がフォレンジック用途なので、ファイルシステムの解析などに強いと言うのもあるのですが。

 

 

私自身、フォレンジックをやっている身なので、よくイメージファイルの中身を簡易的に見るという作業をやっているのですが、その際に使用しています。

 

FTK Imger自体は、ダウンロードフォームに記入後、メールにてダウンロードリンクが飛んできますので、そこに記載されているダウンロードリンクから落とせます。

accessdata.com

 

このツールを使って作成したイメージファイルをマウントさせると、こんな感じで中身が見れます。

f:id:motojiroxx:20180609235025p:plain

 

ちょっとだけ、使い方を紹介いたします。

 

FTK Imagerの使い方

使うときのフローとしては以下の通り。

  1. 作成したイメージファイルor接続されているHDDを選択
  2. ツールに読み込まれたイメージファイルorHDDの中身をみる

です。非常に簡単です。

1. 作成したイメージファイルの選択

まずは、作成したイメージファイルの選択をします。以下の図のようにやっていただければいいです。

流れとしては

  • Evidenceの追加
  • Evidenceの種類を選択(今回はイメージファイルなので、Image Fileを選択)
  • イメージファイルを指定

f:id:motojiroxx:20180610001946p:plain

 

最後のFinishをクリックすると、下のような画面に切り替わります。

 

f:id:motojiroxx:20180610002253p:plain

それぞれの画面で、イメージファイルないのディレクトリツリー、ファイルのリスト、プロパティ情報、hexを確認することができます。

で、30日自作OSの3日目のharib00jで作成したイメージファイルであれば、イメージファイルの先頭から0x4200にbootpackのコードがあるはずです。

 

なので、Evidence Treeの部分でimgファイルを選択し、hexの画面上でCtrl+Gをすると任意のアドレス(オフセット?)に飛ぶことができます。実際に0x4200を指定してそのデータを見て見ると確かにそのコード部分が存在するのが確認できるかと思います。

f:id:motojiroxx:20180610003031p:plain

 

f:id:motojiroxx:20180610003047p:plain

 

hexを見るだけであればxxdコマンドなどを使えばいいのですが、こちらのツールを使うとファイルシステムを読み取って中の構成をちゃんと確認できるので、「作成したharibote.sysがファイルとして格納されているはずなんだけど、本当にあるのか?」など確認できます。

 

その他にも、イメージファイル内に存在するファイルを取ってきたりメモリダンプを取りことも可能です。フリーツールとは思えない完成度だとおもいます。。

 

興味があればぜひ使ってみてください。