株式会社ディアイティはサイバーセキュリティとネットワークの企業
セキュリティコラム

第2回:デジタルフォレンジックとは?
フォレンジックツールはどんなことができる?①2015.01.28

第2回は、前回に引き続きフォレンジックの話です。前回は、フォレンジックとはどういうものなのかを説明しました。第2回、第3回は、弊社で販売しているフォレンジック調査支援ツール「X-Ways Forensics」の機能を紹介していきたいと思います。 第2回では、保全やイメージファイル読込等の証拠品関連の機能、GUI上でのファイルのフィルタリングやプレビュー等に関する機能、検索機能等を紹介します。第3回では、ファイルシステムの解析やWebアクセス履歴の解析等の解析機能を紹介したいと思います。

X-Ways Forensicsについて

X-Ways Forensics

X-Ways Forensicsは、独X-Ways Software Technology AG社によって開発されているフォレンジックツールです。名前の通り、このソフトウェアは、X-Ways Software Technology AG社のフラッグシッププロダクトです。 「WinHex」というバイナリエディタを聞いたことがあるでしょうか。このソフトウェアもX-Ways Software Technology AG社が開発しており、X-Ways Forensicsは、このソフトウェアをベースとして作られました。

X-Ways Forensicsの便利な機能

X-Ways Forensics

証拠品メディアの保全機能

X-Ways Forensicsには、証拠品の保全機能があり、証拠品のUSBメモリやHDD等のデータを別のHDD等のメディアに複製することができます。また、証拠品のメディアのデータをRawイメージやE01イメージに変換することも可能です。  イメージのリストア機能もあるため、一度イメージ化したデータをメディアに複製することもできます。


X-Ways Forensics

ディスクデータの完全消去

X-Ways Forensicsは、フォレンジックツールであるために証拠品を意図せず変更しないよう、読取専用で動作しています。しかし、X-Ways Forensicsの実行ファイル名をWinhexに変更し実行することで、書き込み可能なWinHexとして起動します。WinHexにはディスクの完全消去機能がついており、書き込み内容(乱数、固定値)、書き込み回数を自由に決めることができます。また、デフォルトパターンとして0x00の書き込みおよび米国防総省の抹消方式DoDが用意されています。


X-Ways Forensics

様々なイメージファイルの読込

X-Ways Forensicsは、USBメモリやHDD等の物理メディアだけでなく、VMwareのイメージファイルvmdk、仮想HDDイメージのvhd、Rawイメージ、E01イメージを読み込むことができます。 vmdkの場合は、元のvmdkファイルとスナップショット時にできるvmdkファイルもすべて読み込むことで、最新状態の仮想環境を調査することが可能になります。


X-Ways Forensics

再帰的表示

Linuxユーザの方には馴染みのある「再帰的表示」。一般的には「再帰的表示」と言われてもピンと来ないと思います。 簡単に説明すると、指定したディレクトリの中にあるファイルを一括表示する機能のことで、調査したいディレクトリ配下のすべてのファイルを一度に参照することができます。


X-Ways Forensics

フィルタリング機能

フィルタリング機能は、ファイル名、ファイルパス、作成日時、更新日時、ファイルタイプ、ハッシュ値、ファイルパス等、様々な項目で表示するファイルの絞込を行う機能です。 再帰的表示とフィルタリング機能を合わせて利用すれば、調査上重要であるファイル名や作成した期間のみがわかっている時等には、素早く該当のファイルを見つけることができます。


X-Ways Forensics

プレビュー機能

プレビュー機能は、その名の通り選択したファイルをプレビュー表示できる機能です。ファイルの内容を確かめるために別のアプリケーションを立ち上げる必要がありません。


X-Ways Forensics

バイナリ検索

一般的なバイナリエディタと同様に16進数での検索が可能なことはもちろん、テキスト検索、整数検索、浮動小数点検索、指定した文字数以上の連続した文字列の検索(文章検索)を行うことができます。文字コードの指定やワイルドカードの使用も可能です。


X-Ways Forensics

ファイルのキーワード検索

複数のキーワードで同時にファイル内をキーワード検索することが可能です。ディスク全体のファイルに対して一斉に検索をかけることも可能となっており、OfficeドキュメントやPDFファイルは自動的にデコードして検索を行うことができます。 様々な文字コードに対応しており、正規表現を利用した検索も可能です。また、ファイルスラック領域を対象に含めることもできます。 検索結果は、キーワード毎にまとめられ、一致したファイルの情報とともにキーワードの前後の文章を確認できます。また、デコードせずにヒットしたものについては、検索結果を選択することでヒット箇所のオフセットに移動します。

X-Ways Forensics