ナレッジ | フォーカスシステムズサイバーフォレンジックセンター

メールでのお問い合わせ
お問い合わせはこちら
東京証券取引所 プライバシーマーク ISMS JUSE

ナレッジ

ホーム > ナレッジ > Articles > FTKをインストールしてみよう
«  |  Articles トップへ

FTK Imagerでデータの閲覧、エクスポートをしてみよう

第2話ではFTK Imagerを使用したHDDの保全手順を紹介しました。

 

第3話となる今回は、FTK Imager(バージョン4.1.1.1)を用いたデータの閲覧、エクスポートの手順を紹介します。

 

 

データの閲覧

 

1.「File」>「Add Evidence Item」を選択します。




 

2.閲覧したいエビデンスの種類を選択し、「次へ」を選択します。

・Physical Drive:物理ドライブ

・Logical Drive:論理ドライブ

・Image File:イメージファイル

・Contents of a Folder:フォルダ

 

本記事では、FTK Imagerで保全(イメージ化)したイメージファイルを閲覧するため、「Image File」を選択します。

 

3.「Browse」ボタンをクリックし、イメージファイルを選択します。イメージファイルを選択し終えたら「開く」をクリックし、「Finish」をクリックします。

 

4.FTK ImagerのEvidence Treeペインに、選択したエビデンスがマウントされます。

 

5.エビデンスの左側にある+ボタンを押すことでエビデンスのディレクトリ構造がツリー形式で表示されます。

 

6.Evidence Treeでフォルダを選択すると、選択したフォルダ内のファイルやフォルダのリストがFile Listペインに表示されます。

 

ファイル(フォルダ)名の左にあるアイコンに、赤い☓印がついているデータは削除データです。また、コンピュータ上からは通常見ることの出来ない隠しファイル等も、FTK Imagerではその中身まで確認することが出来ます。

 

7.File Listペインで選択したデータの中身は、File Listペインの下の画面(コンテンツペイン)で確認することが出来ます。

 

また、コンテンツペインの左にあるPropertiesペインでは、Evidence TreeペインもしくはFile Listペインで選択したデータのプロパティ(メタデータ)を確認することが出来ます。

 

Propertiesペインではファイルシステムの管理情報等の詳細な情報も確認することが出来ます。

 

 

 

データのエクスポート

 

1.Evidence TreeペインもしくはFile Listペイン上で、エクスポートしたいデータ名を右クリックし、「Export Files」をクリックします。

 

2.エクスポート先のフォルダを選択し、「OK」をクリックします。

 

3.エクスポート先にデータが保存され、中身を確認することが出来ます。

 

【注意】

データが一部欠損していてもエクスポートすることは可能ですが、欠損した状態でエクスポートされます。その場合、エクスポートしたデータを開こうとしても開けない(データの中身が確認出来ない)場合があります。