ナレッジ | フォーカスシステムズサイバーフォレンジックセンター

メールでのお問い合わせ
お問い合わせはこちら
東京証券取引所 プライバシーマーク ISMS JUSE

ナレッジ

ホーム > ナレッジ > Articles > EnCase入門 ~ケース作成とエビデンスのマウント~
Articles トップへ

EnCase入門 ~ケース作成とエビデンスのマウント~

世界的に有名なフォレンジックツールである EnCase Forensic。本ナレッジでは、その EnCase Forensic の基本的な扱い方や、調査に活用できる便利な機能などをご案内していきたいと思います。

これから EnCase を使ってみたいという方に限らず、他のツールと比較したいという方にもお読みいただき、EnCase に少しでも親しみを持っていただければと思います。

 

今回は執筆時の最新バージョンである『EnCase Forensic v8.08』を使ってお話を進めていきますが、基本的な操作においては各バージョンの間で違いはほとんどありません。

 

それでは早速、EnCase Forensic を起動してみましょう。

 

"ケース作成画面"

 

 

ここでは必須事項として、少なくとも以下の4つを設定する必要があります。

・Name(ケース名)

・Base case folder(ケースの保存先)

・Evidence cache location( Evidence Cache の保存先)

・Backup settings(バックアップの作成有無及び自動作成の時間間隔)

 

ポイント:3つ目に出てくる Evidence Cache というのは、エビデンスの中身を見ていく上で施されていく様々な処理(及びその結果)が格納される保存先を示しています。この Evidence Cache を共有すると、異なるケースや調査端末同士でも、エビデンスが同じであれば一度施した処理を再利用することが可能になります。

 

ケース作成画面の左半分は、ケースに補足情報を付与することができる項目です。Template を選択すると、それに応じて直下の Case Information の入力項目が変化します。

 

"Template による Case Information の変化"

 

 

これらの Case Information の項目は、ダブルクリックや「Edit」から編集することが出来ますが、未入力のままでもケースの作成に問題はありません。組織の運営や方針にあわせて、お好みに活用していただければと思います。

 

必須項目である4箇所及び、任意で Case Information 等の情報を入力し終えましたら、「OK」ボタンを押してケースの作成を完了します。

 

"ケース作成完了画面"

 

 

 

2.エビデンスのマウント

ケースを作成したら、次は調査対象となるエビデンスを EnCase に読み込ませてみましょう。

画面上の「Add Evidence」を押して、エビデンスの種類を選択する画面に移ります。

 

"Add Evidence 選択画面"

 

 

ここではどんな種類のエビデンスを追加するかによって、次に選択する項目が変わってきます。

例えば、E01 や VHD 形式のイメージファイルを読み込ませたいという場合は Add Evidence File を、

USB メモリや操作している PC 本体を読み込ませたいと言う場合は、 Add Local Device を選択しなければいけません。

 

そこで、今回はそんなエビデンスのなかでも特によく使われる、“ローカルデバイス”と“イメージファイル”のマウント方法について触れたいと思います。

 

 

2-1.ローカルデバイスのマウン

ローカルデバイスのマウントということで Add Evidence 内の「Add Local Device」を選択してみるのですが、エビデンスの選択画面ではなく、6個ほどのチェック項目が出て来るかと思います。

 

"Add Local Device 画面"

 

 

この最初に出てくるチェック項目は、“どんなローカルデバイス”をマウント対象の候補として表示するか、予め選別するための項目になります。

 

"Add Local Device チェック項目(初回起動時)"

 

 

例えば「Only Show Write-blocked」を選択すると、書込み防止措置が施されている端末のみをマウント対象の候補として表示しますし、「Enable Physical Memory」を選択していると、物理メモリもマウント対象の候補として表示します。

 

あくまでここでは候補を決めるだけですので、上記の画像のような項目のチェックで進めていただければ、認識されている端末全てを確認することができます。

 

実際にこのまま画面右下の「次へ(N) >」を押してみますと、現在認識されているローカルデバイスが一覧で表示されるのがお分かりいただけるかと思います。

 

"Add Local Device マウント対象選択画面"

 

 

もし先程のチェック項目の画面にて「Only Show Write-blocked」にチェックをつけていた場合、書き込み防止が施されていない端末をここには表示させなくすることができますので、誤った端末をエビデンスとしてマウントさせないようにする際に効果的となります。

 

後は、任意の端末及びボリュームにチェックを付け、右下の「完了」を押すことでローカルデバイスのマウントが完了となります。

 

"マウント対象を選択後に「完了」ボタン"

 

 

完了ボタンを押すと自動的に画面が切り替わり、エビデンスとして先程選択したローカルデバイス(及びボリューム)が、EnCase に追加されたことが確認できるかと思います。

 

"エビデンス追加完了画面(Evidence タブ[View : Evidence])"

 

 

後は追加したエビデンスを展開し、実際にどんなデータが含まれているのかを調査するという段階に移っていきます。

 

今回はもう一つ、ローカルデバイスのマウント方法に触れたということで、次にイメージファイルのマウント方法についてご紹介いたします。

 

イメージファイルのマウントは、前述のローカルデバイスよりも比較的簡単な操作で行なうことが出来るのですが、何点か注意点やポイントがあるのでそちらも抑えながら進めていきましょう。

 

 

2-2.イメージファイルのマウン

まずケース作成後の画面から Add Evidence を選択します。イメージファイルのマウントということですので、今回は「Add Evidence File」を選択します。

 

"Add Evidence File マウント対象選択画面"

 

 

この画面では、E01 や L01 といった、EnCase が対応している形式のイメージファイルを選択することができます。目的のイメージファイルが存在するディレクトリまで移動していただき、任意のファイルを選択したら画面右下の「開く(O)」を押すことで、EnCase へイメージファイルをマウントすることが出来ます。

 

"イメージファイルを選択して「開く(O)」をクリック"

 

 

ただ注意点としまして、この Add Evidence File から Raw形式のイメージファイルをマウントすることは出来ません。Raw形式のイメージファイルと同じ拡張子を持つ「SafeBack File」というものがあるので一見すると Raw形式も読み込めそうですが、あくまで SafeBack File としてマウントしようとするため、上手く取り込むことは出来ません。

 

Raw 形式のイメージファイルをマウントするときは、Add Evidence File ではなく、「Add Law Image」から対象のイメージファイルをすべて選択することで EnCase に取り込むことが出来ますので、イメージファイルの取り扱いの違いに関しては注意してください。

 

"Raw 形式のイメージファイルの追加"

 

 

 

まとめ

 

今回は、EnCase Forensic の使い方の入門編ということで、EnCase を起動させてケースを作成し、ローカルデバイスやイメージファイルをマウントしてエビデンスの追加を行う流れをご紹介いたしました。

次回からは、実際に追加してきたエビデンスの中身をどのようにみていくのかといったことをご案内していく予定ですので、ご興味があるという方は是非ご覧くださいませ。