アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

Webメールのアーティファクト

恐らく主に米国で提供されているサービスを主としてパターン定義されていると思いますが、Gmail や Yahoo、HotmailWebメールアーティファクトを検索するツールとして、IEF(Internet Evidence Finder)というツールがあるので、週末の FNG10 向けに評価版を動かしてみたりしています。

Internet Evidence Finder v3.3.0
http://www.jadsoftware.com/go/?page_id=141

試用版では10項目だけしか表示することができないのでまだ詳しく確認できていないのですが、対応している項目には興味深いものが色々とあります。例えば項目としては「IE8 InPrivate/Recovery URLs」とか書いてあるので、一瞬“をっ!”とか思ったりするのもあるのですが、実際のところは...
検索対象としては、ハードディスク全体やメモリダンプのファイル、Pagefile.sys や Hiberfile.sys と書かれています。フォルダを指定するか単体ファイルを指定することも可能なようです。
ブラウザに依存せず、恐らくパターンで検索しているのではないかと思うのですが、サービス提供者側の構文が変化したりすると難しかったりもするんでしょうかねぇ。

価格的にも 1 to 5 licenses $49.99 となっている様子*1なので、高くないみたいですが、日本語な環境でどこまで使えるのかはテスト結果を見てみないとわかりません、どなたか評価とかされたことあれば情報いただければです。
検索している途中で止める(Abort)と、それまでの検索してヒットした結果を確認することができないんですね、最初からやり直しか...orz

このツールの HELP を読むだけでも色々と勉強になりますね。

*1:法執行機関向けにはFreeなのかもしれない