@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

SIFT Workstation 3.0 に含まれるツールの確認(3) ライブラリ関連

フォレンジック

SIFT Ver3.0のSoftware Includeで他に気になる点として、ライブラリ関連を確認しておきたいと思います。SANS Blogに記載があるライブラリ関連は下記になっています。

 

libbde

https://code.google.com/p/libbde/

Library and tools to access the BitLocker Drive Encryption (BDE) format. The BDE format is used by Windows, as of Vista, to encrypt data on a storage media volume.

 試した事がないですが、BitLockerのマウント用ライブラリという事ですね。Windows版のbdemountコマンドを使えば RAW イメージを指定した論理ドライブでマウントする事も可能みたいですね。

 

libesedb

https://code.google.com/p/libesedb/

Library and tools to access the Extensible Storage Engine (ESE) Database File (EDB) format.

 EDBファイル用のライブラリということですね。基本的にはWindows Searchで使われているEDBファイルをターゲットにしているんでしょうかね?

 

libevt

https://code.google.com/p/libevt/

Library and tooling to access the Windows Event Log (EVT) format.

 libevtx

https://code.google.com/p/libevtx/

Library and tooling to access the Windows XML Event Log (EVTX) format.

 libevtとlibevtxはイベントログをパースするライブラリですが、両方とも共通してSYSTEMとSOFTWAREのレジストリ情報が必要という点がありますね。(メッセージの取り出しではEXEやDLLも必要ですけど)

 

libewf

https://code.google.com/p/libewf/

Libewf and tooling to access the Expert Witness Compression Format (EWF).

 libewfはE01形式などのExpert Witness Compression Formatイメージをマウントするライブラリですが、サポートされている形式としては .E01 と .Ex01 がありますが、最新のEWF2(Ex01)については experimental versionで対応しているようで、圧縮や暗号化対応はこれからといった状況のようですね。LEF形式についてもサポートしているようで、L01とLx01の記載が確認できます。

 

libfvde

https://code.google.com/p/libfvde/

Library and tools to access FileVault Drive Encryption (FVDE) encrypted volumes

 

libvshadow

https://code.google.com/p/libvshadow/

Library and tools to access the Volume Shadow Snapshot (VSS) format.

 libvshadowのサイトには、Snapshotに関する詳しい資料が提供されているので、これは参考資料の一つとして役立つものだと思います。

 

それぞれのライブラリのWikiに詳しく情報が載っていますので、ライブラリの仕組みだけでなく技術情報としても色々と参考になる点が多いですね。