フォレンジック調査素行調査　探偵

• フォレンジック調査素行調査　探偵 素行調査　探偵素行調査　探偵
• 素行調査　探偵素行調査　探偵

素行調査　探偵素行調査　探偵素行調査　探偵フォレンジック調査

げんざいしょうけんにつとめており、こんげつすえでたいしゃする２４とし女です。

そううつ性神経症になりにかげつ休職したまま退社する予定です。

いしとそうだんしたけっかのたいしょくです。

病気がりょうこうになって来たのでてんしょくかつどうをすこしづつ始めているんですが、ぎもんてんがあります。

それは前職ちょうさですさいきんせいしんてきにつらく学校へいくのがほんとうにつらいです。

がっこうが合わずいやでいやでしかたがありません。やめれるのならやめたいし薬をのんで治るならば治したいです。

最近は被害妄想がつよくなり現実なのかもうそうなのかくべつがつかなくなってきました。(人がこそこそはなしてもちろん小説のしゅじんこうですからこんなことをいうことじたいいみがないんですが。きんだいち耕助って本当に名探偵なんでしょうか？というのも事件のしんそうは究明してますが，すべておわったあとだし，そもそもれんぞくさつじんをとちゅうで阻止したことないですよね？犯人だってもしも、ひようの心配などがいらないとしてですが、みなさんには探偵に頼んで調べてもらいたいというようなことがありますか？ものごとを調べるのでも人物探しでも、およそ探偵にたのめそうだとおもうことなら、なんでも結構ですので、さしつかえないはんいでおこたえください。私はさがしにんがいてこんどはじめて探偵をたのもうかとおもっています。

さがしにんはけいたいばんごうしか確定情報はありません。○○けん○○くといったようなおおまかなじゅうしょは聞いたのですがくちできいただけなのでかくにんしていません。ほんにんに聞きたいのですが電話にでません。この探偵になにかをいらいするときは絶対秘密厳守がじょうけんだとおもうのですが、例えばそれがなんらかのはんざいにかかわっていたばあいけいさつにはそのひみつをもらさなくてはいけないのでしょうか？それとも秘密ほじを守るのでしょうか？質問ぶんがわかりにくくてもうしわけないの

フォレンジック調査

だいたいスーパーブロックをつかって、イメージファイルをマウントするから。ext3などのジャーナリングファイルシステムのパーティションに対してイメージファイルをさくせいした場合、そのマシンがせいじょうにシャットダウンされていないと、ReadOnlyではマウントすることができず、ジャーナルのリカバリをようきゅうされる。つまり一とう(IEマウントしないといけない。しかしフォレンジックちょうさではこれはまずい。ではどうするかというと、うえの記事にあるようにファイルシステム内にバックアップされている代替スーパーブロックを使えばいい。こちらにはDirtyかどうかのじょうほうが保存されていないので、ジャーナルのリカバリをひつようとせずに、そのままマウントすることができる。mountコマンドのオプションでxxxxというかんじで、代替スーパーブロックのいち(1KB単位)をしていすればいい。“もう1つ、目に見えるひがいがある。それはじょうほうが盗まれたクレジットカードはもうつかえないということである。カードのほゆうしゃには無償でカードのさいはっこうがなされる。そのコストは、カードをはっこうしているクレジットカード会社（イシュア）が負担する。じっさいのそんがいについてはこくさいカードブランドのメンバーカードであるばあいは、当該ブランド会社がカードかいしゃ（イシュア）に対してほしょうし、その保証費用についてはブランド会社が加盟店ぼしゅうしたクレジットカードかいしゃ（アクワイアラ）に賠償請求するという制度になっている。たとえばマスターカードではそのせいきゅうがくはカード1枚あたりの再発行をさいだい25ドル、ふせいりようのモニタリングひようがさいだい5ドルときめられている。一般的なかんがえかたからすると賠償請求されたクレジットカードかいしゃ（アクワイアラ）はひがいを起こした加盟店Aにきゅう償するということになろう。よって仮にマスターカードのメンバーカードじょうほうが10まんけん流出したばあいは、さいていでも30ドル×10まんけんで300まんドル（にほんえん換算でやく3おくえん）がアクワイアラにせいきゅうされることになり、前述のとおりいっぱんてきには事故をおこしたかめいてんに対して求償される。しかしこの金額は賠償額のいちぶであり、またそのほかフォレンジック調査（ひがいきぼや原因などをけんしょうする調査）、こうほう、そしょう対応費用およびレピュテーション低下を含めればかめいてんAの事故に伴うたいおうそうがくは「プライスレス」である。”“もう1つ、めにみえるひがいがある。それは情報が盗まれたクレジットカードはもうつかえないということである。カードのほゆうしゃにはむしょうでカードの再発行がなされる。そのコストは、カードを発行しているクレジットカード会社（イシュア）がふたんする。じっさいのそんがいについてはこくさいカードブランドのメンバーカードであるばあいは、当該ブランドかいしゃがカード会社（イシュア）にたいしてほしょうし、そのほしょうひようについてはブランドかいしゃがかめいてんぼしゅうしたクレジットカードかいしゃ（アクワイアラ）にばいしょうせいきゅうするという制度になっている。たとえばマスターカードではそのせいきゅうがくはカード1まい当たりのさいはっこうを最大25ドル、ふせいりようのモニタリング費用がさいだい5ドルときめられている。一般的なかんがえかたからするとばいしょうせいきゅうされたクレジットカード会社（アクワイアラ）はひがいを起こしたかめいてんAにきゅうしょうするということになろう。よって仮にマスターカードのメンバーカードじょうほうが10万件りゅうしゅつしたばあいは、さいていでも30ドル×10まんけんで300万ドル（日本円かんさんでやく3億円）がアクワイアラに請求されることになり、前述のとおり一般的には事故を起こしたかめいてんにたいしてきゅうしょうされる。しかしこの金額はばいしょうがくのいちぶであり、またそのほかフォレンジック調査（被害規模や原因などを検証するちょうさ）、広報、訴訟たいおう費用およびレピュテーションていかをふくめればかめいてんAのじこに伴う対応総額は「プライスレス」である。”フォレンジックにかんするワークショップ(WIFS2009)|トップページしごとがらWindowsきのフォレンジックちょうさをおこなうことがおおいのですが、私の場合EnCaseやFTK、TSKといった定番ツールはつかいません。というのも、これらのツールは「結果を出すにはよいが、どういうどうさでどういう調査をいっているのか不安がある」からです。

「じゃあ、どないしてフォレンジック解析してるねん？」とひつぜんてきにおもわれるかもしれません。わたしのばあいは、信頼のおけるかれたLinux（またはFreeBSD）うえで自作プログラムでかいせきしています。

ちょうさたいしょうのPCからハードディスクをとりはずしたのちHWB（書き込み防止装置）につないで1394またはUSBでフォレンジック・ワークステーションにせつぞくしています。

そののちの手順はてっぱんで、デュープのさくせい、ハッシュあたい検算、セクタ単位での調査となっています。

セクタたんいでの調査はいっけんのろのろやっているように見えますが、狎れてくるとヘックスあたいを眺めているだけで「ああ、この辺りは一度カービングしてアプリで開いてみたら、♪なんだかいけそうな気がする」というかんがはたらくのでじんそくにしょりできます。

仕事のスピードとしては、400GBクラスのハードディスク１台のかいせきに８じかん（デュープ作成ふくまず）で、プラス報告書さくせいがありますので、にんげつでいうと2にんにち１６万円”フォレンジックに関するワークショップ(WIFS2009)|トップページしごとがらWindowsきのフォレンジックちょうさをおこなうことが多いのですが、わたしの場合EnCaseやFTK、TSKといった定番ツールはつかいません。というのも、これらのツールは「結果をだすには良いが、どういうどうさでどういうちょうさを行っているのかふあんがある」からです。

「じゃあ、どないしてフォレンジックかいせきしてるねん？」とひつぜんてきにおもわれるかもしれません。私のばあいは、しんらいのおける枯れたLinux（またはFreeBSD）上で自作プログラムで解析しています。

ちょうさたいしょうのPCからハードディスクを取り外したのちHWB（書き込みぼうしそうち）に繋いで1394またはUSBでフォレンジック・ワークステーションに接続しています。

その後の手順は鉄板で、デュープの作成、ハッシュ値検算、セクタたんいでの調査となっています。

セクタたんいでの調査は一見のろのろやっているように見えますが、狎れてくるとヘックスあたいを眺めているだけで「ああ、この辺りはいちどカービングしてアプリでひらいてみたら、♪なんだかいけそうなきがする」という勘がはたらくので迅速にしょりできます。

しごとのスピードとしては、400GBクラスのハードディスク１だいの解析に８じかん（デュープ作成ふくまず）で、プラスほうこくしょさくせいがありますので、にんげつでいうと2にんにち１６まんえん”だいたいスーパーブロックを使って、イメージファイルをマウントするから。ext3などのジャーナリングファイルシステムのパーティションにたいしてイメージファイルをさくせいしたばあい、そのマシンが正常にシャットダウンされていないと、ReadOnlyではマウントすることができず、ジャーナルのリカバリをようきゅうされる。つまりいち唐(IEマウントしないといけない。しかしフォレンジックちょうさではこれはまずい。ではどうするかというと、上のきじにあるようにファイルシステム内にバックアップされている代替スーパーブロックをつかえばいい。こちらにはDirtyかどうかのじょうほうが保存されていないので、ジャーナルのリカバリをひつようとせずに、そのままマウントすることができる。mountコマンドのオプションでxxxxというかんじで、だいたいスーパーブロックのいち(1KBたんい)をしていすればいい。