@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

Autopsy 4.4.1 疑わしいファイル機能

Autopsy 4.4.1 のベータ機能テスト

Autopsy には事前に定義した「疑わしいファイル」を探すモジュールがあり、オプションメニューからルールセットの作成ができる。

Interesting Files Identifier Module
http://sleuthkit.org/autopsy/docs/user-docs/4.4.1/interesting_files_identifier_page.html

下記はオプションから「疑わしいファイル」のタブを選択したところ。

f:id:hideakii:20170818081918p:plain

「新規セット」から新しいセットを作成し、次に「新規ルール」から一致させる条件を設定する。

条件としては、対象をファイル・フォルダ・全てから選択し、その他の項目としてファイル名、パス、MIME タイプ、ファイルサイズなどの項目を指定できる。項目により正規表現も利用が可能。

例えば下記図であれば、MIMEタイプとして JPEG 画像を設定しているので、拡張子が変更されていたとしても、MIME Type に従い検出が行われる。

f:id:hideakii:20170818082200p:plain

セット内で複数の項目を指定した場合には、AND で評価される。

例えば拡張子は不明だが、ファイル名に一定の文字列を含み(正規表現を利用)、かつMIME Type が JPEG のファイルといった条件を設定する事ができる。

f:id:hideakii:20170818084119p:plain

項目としてハッシュ値が無い為、ハッシュ値で一致させたい場合にはこの機能を利用するのではなく、ハッシュデータベースの方で登録する必要がある。

ルールを作成後、「疑わしいファイル」モジュールを実行すると、作成したルールを選択する事ができる。

f:id:hideakii:20170818084248p:plain

モジュールの実行結果は、「疑わしいアイテム」のツリーから確認ができる。ルールで設定した条件に一致したファイルが項目として表示される。

f:id:hideakii:20170818084534p:plain

インジェストモジュールとして「疑わしいファイル」を実行する際に、同じルールを再実行すると、重複して結果が登録されてしまうので注意が必要。(モジュールの結果を削除する項目が見当たらない)

今回、Autopsy 4.4.1 のベータ機能として追加されたのが「central repository」ですが、デフォルトでは無効になっています。モジュールを利用するには、アクティブ化を選択し適用します。

f:id:hideakii:20170818090254p:plain

 アクティブ化してある場合は、インジェストモジュールの項目として Correlation Engine を選択できるようになる。

f:id:hideakii:20170818090532p:plain

 ただ、このモジュールを有効にした後、該当モジュールを実行しても設定が無いということでエラーメッセージが表示される。

f:id:hideakii:20170818091710p:plain

Case メニューに項目は見えるが、グレーアウトされておりプロパティを確認できない状況。

f:id:hideakii:20170818091327p:plain

 何かしらの設定が必要なようです。