アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

パスワード保護されたファイルを探す

ZIPファイルやOffice文書ファイルにはパスワードを設定することが可能ですが、フォレンジック調査などでパスワード付きのファイルを探したい時があります。EnCaseでは標準のスクリプト機能としてCase Processor =>Infomation Finders =>Find Protected Filesを使うことでZIPやOffice文書でパスワード設定されたファイルを検出することが可能です。*1
FTKなど他のツールも当然検出してくれるみたいですが、他にもパスワード保護付きのファイルを探すツールがないかを探してみところ以下のものがあるようです。

Find hidden password protected files with Find Protected
http://www.findprotected.com/solutions/it-administrators/find-protected-benefits.htm
Office 2007形式には未対応?、$180

Encryption Analyzer
http://www.lostpassword.com/encryption-analyzer.htm
対応ファイルの種類が多い、フリー版もあるがProfessinalだと$295。

Find Password Protected Documents
http://lastbit.com/FindPassword/default.asp
Office 2007形式にも対応、CSV出力も可能みたい、49ユーロ

対応ファイル形式の多いEncryption Analyzerのフリー版を試したんですけど、探したいファイルの種類を選択できないのかな?サポートしているファイル形式は無条件で調べるような動きです。OneNoteのファイルとかヒットしてくれるんですが、別にそいうのは探さなくてもいいんですけど・・・できれば検索するファイルの種別は指定したいなぁと思っていますが、単にお試しで購入するには$295は少し考えますね。個人的にはほとんど設定したことがないんですが、RARファイルのパスワード設定も検出するようです。

ちなみに以前はまったケースとして、ZIPファイルにパスワードが設定されている状態なのですが、実際はブランクパスワードが設定されていて、パスワード解除ツールがブランクパスワードに対応しておらず延々と解析を続けたってのがありました。圧縮ツールによってはZIPファイルのパスワードの設定としてブランクが設定できるみたいで...

*1:EF6.12.1のFind Protected FilesではOffice 2007形式でのパスワード保護されたファイルは検出しないようです