@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

2015年時点での自分的 EnCaseスキルセットを棚卸し(2)

基本的な処理(調査を開始する前に行う下ごしらえ?と言えるのかもしれませんが)に関する項目は以下でしょうか。

主にはファイルの種類を特定したり、既知ファイルを除外する、検索を行い関連するデータを特定するといった部分になり、アーティファクトのパースなどは含んでいません。

 

■シグネチャ分析

  1. ファイルタイプの定義内容の理解(ヘッダ・フッタ パターン、サイズ、カテゴリ)
  2. 既存のシグネチャタイプをカスタマイズして利用する(シグネチャをカスタマイズする事でより分類を詳細に行う)
  3. 自分で必要なシグネチャをファイルタイプに登録・テストする
  4. 予め定義されているファイルタイプで不要(ノイズ)となるパターンの変更
  5. シグネチャ分析の実行(Evidence Processor又は選択対象に対して手動実行)
  6. シグネチャ分析結果の確認とフィルタ(コンディション・フィルタの利用)
  7. ファイル拡張子が変更されているパターン(エイリアス)の確認・フィルタ
  8. シグネチャ分析の結果がマッチするケース(TXTなど)の理解
  9. シグネチャ分析の結果がBadまたはUnKnownになるデータ内容の理解
  10. ファイルが暗号化されているパターンをシグネチャ分析の結果から確認する
  11. ファイルシグネチャを利用したUnallocated Clustersからのカービング
  12. File Carverモジュールを利用したファイルのカービングと制限事項
  13. File CarverモジュールのOptimizedオプションの利用方法
  14. ZIPファイルのカービング(破損データの修復)
  15. Recover Foldersにより表示されているファイルに対するシグネチャ分析実行による破損ファイル等の検出・フィルタ
  16. 拡張子が変更されていた画像ファイルのギャラリービューでの閲覧(シグネチャ分析の実施後)

■コンパウンド(複合)ファイルの取り扱い

  1. EnCaseでマウント可能な複合ファイル、マウントできない複合ファイル(LZH etc...)の理解
  2. View File Structure のマウント時のオプションに関する理解(Unallocated Clustersの計算、削除メールの検索等)
  3. EnCaseがマウントに失敗したファイルの特定(原因の確認)
  4. 複合ファイルに含まれるファイル名が文字化けする場合の原因と対処方法
  5. Evidence ProcessorのExapnd compound filesが対象とするファイルタイプの理解(レジストリは対象外となる)
  6. パスワード付きZIPファイルのマウント(パスワードを入力したかった場合、Secure Storageへのパスワード登録)

■パスワード保護・暗号化されているファイルの分析

  1. Evidence ProcessorのAnalyzing Protected(Passware Toolkit)を使った保護ファイルの検出
  2. 検出された保護ファイルの確認(フィルタ)
  3. Passware 連携機能の理解
  4. エントロピー値の計算手順

■ハッシュ分析

  1. 既知ファイルからハッシュセットの作成
  2. ハッシュセットに含められるメタデータの理解
  3. ハッシュ分析の実行(ハッシュセットの選択)
  4. NSRL、NSRLJP の利用手順の理解
  5. 既知ファイルのハッシュセットを利用したファイルの除外
  6. 既知ファイルのハッシュセット、ハッシュ値を利用したファイルの特定

■RAW キーワード検索

  1. RAWキーワードの登録と適切なCode Page設定の理解
  2. RAWキーワード検索ではヒットしないデータタイプや文書ファイルタイプの理解(ZIP, DOCX, PDF, Base64,Protected Files etc...) 
  3. RAWキーワードとして日本語文字列を検索する場合に指定する適切な Code Page の理解(932,51932,20221 etc...)
  4. RAWキーワードの一括登録(Code Page 指定含む)
  5. RAWキーワード検索の実行・結果(ヒット)の確認
  6. GREP パターンの登録・事前検証

 ■インデックス検索

  1. インデックスが作成される仕組みの理解(Outside In、Transcript、文字化け)
  2. インデックスされるデータ範囲の理解(メタ、本文、対象文字コード、埋め込みデータ部分)
  3. 圧縮ファイル、PDFの添付ファイル、メールの添付ファイルなど他のデータを含んでいるデータに対するインデックス処理の理解
  4. インデックスされない(検索できない)ファイルタイプやデータ内容に対する正しい理解
  5. インデックスされない(されていない)ファイルの検出・フィルタ
  6. 日本語を含むアジア言語を含むデータのインデックスオプションの設定
  7. 日本語文字列に対するインデックス段階での正規化処理の理解(カタカナ、濁点・半濁点、全角英数の処理)
  8. 日本語文字列を利用したインデックス検索と、ハイライトの関係(正規化処理の影響)
  9. 日本語文字列の形態素解析(ワードブレイカーの動作)の理解
  10. 中国語・韓国語に対する形態素解析と正規化処理の影響の理解
  11. インデックス内容のエクスポート(IndexDataExtractor)