Windows FEは forensically sound?? - セキュリティは楽しいかね？ Part 1

前回のエントリの続きです。実はWindows FEは forensically soundじゃないのではないか？という議論があります。

作者(?)である Troy Larsonさん自身が上記のブログにコメントをつけています。

Windows FE will write a disk signature to a non-Windows disk. Windows FE writes a disk signature to any disk that doesn't have a disk signature. This is a well documented behavior of Windows, and, as such, is predictable. As predictable, the behavior can be expected and explained by the forensic investigator. Thus, one could use Windows FE on non-Windows disk, and have forensically sound findings--as long as the four bytes at the disk signature location are not at issue. I have seen nothing that indicates that Windows FE writes to any partitioned space--Windows or non-Windows.

また前回ちょっとだけ紹介したSAFE boot diskを開発している Forensic Softもコメントしています。

Windows FE is not a "forensically sound" Windows boot disk. You can prove this by booting any non-Windows system with Windows FE and take a hash of the drive(s) before and after booting with Windows FE.
ForensicSoft makes the only forensically sound write-blocked Windows boot disk in existence.

どうも Disk Signatureの問題のようです。で、上記ブログのエントリではこれを確かめるべく、Windows環境と non-Windows環境(Linux)とで、WinFEをブートした場合の挙動を検証しています。しかし結果的にはどちらの場合でも WinFEによるディスクへの書き込みは確認されませんでした。このエントリを読んでおもしろそうだったので、自分でも確かめてみました。

以下では VirtualBox上にインストールした Windows XP環境と Ubuntu環境を対象に検証してみました。
まず WinXP環境に対して、(1) DEFT Linuxで起動してHDDのMD5 ハッシュ値を計算し、(2) 次に WinFEで起動して同様にハッシュ値を計算し、(3)最後に今度は Raptorで起動してハッシュ値を計算しました。結果、ハッシュ値に変化は見られませんでした。

以下のスクリーンショットは WinFEの FTK Imagerでハッシュ値を計算したところ。