SIFT 3.0 に含まれているツールを少し確認しておきたいと思います。以前、話題になった事がある MantaRay(ManTech Triage & Analysis System) が含まれているのは特に興味が引かれる部分ではないでしょうか。

 

MantaRay Forensics | ManTech Triage & Analysis System

 The first of which is the automated registry recovery and processing tool. 

Mantarayはオープンソースのツールをまとめて自動化してくれるツールですが、レジストリのリカバリと処理にも特徴があるようですね。

 具体的にイメージ毎にどの様な処理が可能かは、Blog の方にも記載があります。

 

MantaRay Overview: Inputs and Tools

http://mantarayforensics.com/2013/11/12/mantaray-overview-inputs-and-tools/

 

MantaRayのマニュアル関連ですが、過去にカンファレンスで使われたスライドがダウンロードできるようになっています。SDFC_Training_2013_MantaRayPresentation.pptx の方がスライド数が多いので、こちらの方が詳しいという事になるのでしょうか。

スライド15では、レジストリの処理について書かれていますが、対象は以下になっているようです。

OVERT

DELETED

UNALLOCATED

RESTORE POINTS

SHADOW VOLUMES

 未割り当て領域（Unallocated）やVSSにも対応させているなど、かなり広い範囲で取り出しを行い、RegRipperで処理することになっています。（RegRipperにより処理ですので、日本語を含むレジストリデータについては処理段階で欠落とかあると思いますが、マルウェア関連をターゲットにした解析ならいける気もしています）

Unallocated からのカービングには foremost が使われているようですね。

工夫されている点として、カービングされたファイルはMD5ハッシュ値をベースに重複が排除されるようになっている点ですかね。

 

スライド17に下記の記述がありますが、これ知らなかったのですが具体的なオフセット位置などに興味があるところです。

The last access time of a registry hive is contained in the hives header

 

脱線した話題になりますが、MantaRayスライドとBlogを見ていたら、BSSIDから位置情報を特定する方法についての言及がありました。以前、Skyhook Wireless のデータベースとかでもWiFiのMacアドレスから位置を引く方法が話題になった事がありましたが、それと同様に位置を検索できるようですね。Skyhook などでは、その騒動の折に一つのMACだけでは位置を拾えないように変更されていたはずです。紹介されているサイトでは BSSID だけで位置を引けるようですね、日本語のアクセスポイントがどこまで含まれているかは分かりませんが。