ナレッジ | フォーカスシステムズサイバーフォレンジックセンター

メールでのお問い合わせ
お問い合わせはこちら
東京証券取引所 プライバシーマーク ISMS JUSE

ナレッジ

ホーム > ナレッジ > Articles > EnCase入門 ~ケース作成とエビデンスのマウント~
«  |  Articles トップへ  |  »

EnCase入門 ~エビデンスの見方~

前回はEnCase入門の初めということで、EnCase Forensicにおけるケースの作成とエビデンスのマウント方法をご紹介しました。

 

エビデンスのマウント後

 

今回は、前回の作業でマウントできたエビデンスの中身がEnCase上でどのように表示され、どんな情報をつかむことが出来るのかといった部分をご案内いたします。

 

早速ですが、すでにマウント済みのアイテムを展開してみましょう。エビデンスを展開するには、展開したいエビデンスの左部分のチェック項目にチェックをつけて「Open」ボタンを押すか、エビデンス名をクリックすることで展開することが出来ます。

 

エビデンス展開方法

 

※エビデンスを開こうとした際、画面が切り替わるまでに時間がかかる場合があります。エビデンス内のファイルシステムの構造などを解析している状態ですので、焦らず自動で画面が切り替わるのを待ちましょう。

 

エビデンスの読み込みが終わって画面が切り替わると、今回のメインとなるEvidenceタブ「View: Entries」が表示されます。

ちなみにですが、先ほどのマウント済みエビデンスが表示されていたのが「View: Evidence」という画面になり、同じEvidenceタブでもこれら2つの画面を行き来することで、EnCase上で扱うエビデンスを管理することが可能になります。

 

エビデンス内の中身を表示している画面「View: Entries」

 

そんなView: Entriesの画面ですが、以下のように大きく分けて4つの画面に分割されています。

 

 

View Entries 画面構成

 

①ツリーペイン

エビデンスの中身を、ツリー構造の観点から見ることができます。

 

②テーブルペイン

ツリーペインで選択したフォルダやボリュームに含まれるアイテムを一覧で表示し、時系列や拡張子別に並び替えたりすることができます。

 

③ビューペイン

テーブルペインで選択したアイテムのより詳細な情報や、画像・ドキュメント・メールデータといったファイルの中身をEnCase上で表示して確認することができます。

 

④フィルタ/コンディションペイン

View: Entries上で表示させるアイテムにフィルタリングを施すことができます。また、簡易的なものであればこのペインを通してデコードすることもできます。

 

 

では、それぞれの項目に関しまして、もう少し細かく見てみましょう。

 

①ツリーペインについて

ツリーペインでは、選択したフォルダ(又はボリューム)の直下に存在するアイテムのみがテーブルペインに表示されますが、選択するフォルダの左についているアイコンをクリックすることでアイコンが緑色になり、テーブルペインに反映させるアイテムを増やすことができます。

 

ツリーペインからテーブルペインへの影響

 

上図では、左の画像が「ドキュメントフォルダの直下」のみを表示している画像。右が「ドキュメントフォルダの配下全て」を表示している画像になります。緑色のアイコンはSet Include Optionと呼ばれており、ツリーペインでフォルダ等を選択する際に、「直下のみ」なのか「配下全て」なのかを選択できる仕組みになっています。

 

この機能をツリーペインの最上層に適用すれば、エビデンスに含まれる全アイテムをテーブルペインに反映させるといったこともできるようになりますので、状況に応じて使い分けていきましょう。

 

 

②テーブルペインについて

テーブルペインは先ほども触れたとおり、ツリーペインで選択したアイテムが一覧で表示される項目になります。ただ、このテーブルペインはアイテムを一覧で表示するだけではなく、多種多様なカラムと、それに伴うソート機能が備わっている非常に重要な項目になります。

 

テーブルペイン カラムのソート

 

図にもあるように、カラムの種類には「名前」や「ロジカルサイズ」、「拡張子」、「ファイルの作成日時」、他にも「削除されているかどうか」「アイテムのパス」など、様々な情報を得ることができるものがあります。

それらのカラムの部分をそれぞれダブルクリックするとソート(並び替え)をかけることができ、「ファイルサイズの大きい順」や「作成日時が早い順」といった並べ替えを行うことができるようになっています。

 

EnCaseのソート機能は、Shiftキー(及びCtrlキー)を使用することで、最大6個まで同時にかけることが可能です。例として、上の図では Logical Size(ファイルのサイズ)> File Ext(拡張子)> Name(ファイル名)の優先度で多重ソートをかけています。こうすることで、①初めにファイルのサイズが大きい順で並び替え、②サイズが同じものは拡張子のアルファベット順に並び替え、③サイズと拡張子が同じものはアイテム名のアルファベット順で並び替え、というような表示をとることとなります。

 

ソートは重ねがけする毎にカラムの部分に赤い三角マークが付きますので、個数が少ないほど優先度が高いという風に判断することができるかと思います。

 

 

③ビューペインについて

ツリーペインとテーブルペインから見たいファイルを選んだら、そのファイルがどんな情報・中身をもっているのかをビューペインで調査することができます。

ビューペインの中でも様々な用途に合わせたタブが用意されていますが、主に使うタブとしては、「Fields」「Report」「Text」「Hex」「Doc」「Picture」が挙げられるかと思います。

 

ビューペイン 主な機能

 

簡単にそれぞれのタブをご紹介いたしますと、

 

Fieldsタブ:選択しているアイテムのメタデータを一覧で表示します。

Reportタブ:選択しているアイテムの“空欄になっていない”メタデータを表示します。また、一部のメールデータの中身を閲覧することもできます。

Textタブ:選択しているアイテムをテキスト形式(ASCII)で表示します。

Hexタブ:選択しているアイテムのHexと、それに対応するテキスト形式(ASCII)を表示します。

Docタブ:EnCaseに内蔵されているViewerを利用して、一部のドキュメントファイルや画像データの中身を表示します。

Pictureタブ:EnCaseに内蔵されているViewerを利用して、画像データの中身を表示します。

 

といった機能になっております。

 

これらのタブを使い分けることで、テキストファイルやMicrosoft Wordといった中身が気になるデータを即座に閲覧することができるため、外部のツールを使わなくても非常に多くの情報が得られるかと思います。

また、近年では専用のソフトウェアでないと中身を見ることが難しいファイルも存在していますが、EnCaseは外部のツールと結びつけてファイルを展開することができる機能も備わっているため、幅広いアイテムに対応できるというのも魅力のひとつかもしれません。

 

 

④フィルタ/コンディションペイン

第四のペインであるフィルタ/コンディションペインでは、条件を設定して、該当するアイテムのみを画面に表示させるというフィルタリング機能を使用することができます。

 

試しに、Condition機能のひとつである「Created After n Date」を使用してみましょう。

 

Condition:Created After n Date

 

このコンディションは、任意の日付を設定することで、その日付以降に作成されたファイルのみを表示するというものです。今回は「2019年5月16日」という日付を設定して実行してみます。

 

Condition実行

 

すると、同じEvidenceタブのView: Entriesの画面ではあるものの、画面上部に黄色いバーが入った画面に自動で切り替わりました。この黄色いバーはフィルタ及びコンディションが適用されている状態を表しており、表示されているファイルの作成日時をみると、先ほど設定した「2019年5月16日」以降の日付を持つもののみが並んでいるのが分かります。

 

このように、フィルタ/コンディションペインを用いれば、作成日時に限らず拡張子やメールデータ、インターネット履歴、画像やドキュメントファイルといった様々な条件でアイテムを絞り込ませることができます。

 

これらのフィルタ及びコンディションはデフォルトで既に用意されているものもありますが、自分で任意のフィルタ・コンディションを作成することもできますので、調査の効率を大きく上昇させるのに役立つかと思います。

 

※EnCase のバージョンによっては、これらフィルタやコンディションの機能が1つのペインで纏められておらず、画面各所に配置されている場合があります。機能としては搭載されておりますので、バージョンによるインターフェースの違いは予めご了承くださいませ。

 

 

 

 

まとめ

 

今回のナレッジでは、EnCaseの基本画面となるEvidenceタブ「View: Entries」についてご紹介しました。

 

この画面における操作の基本的な流れとしましては、

①ツリーペインで調べたいボリュームやフォルダを選択し、

②テーブルペインでどんなファイルが存在しているのかを確認します。

中には作成日時順で並び替えたいという場合も出てくるかと思いますので、ソート機能を使用してファイルの概要を把握します。もし画像データやドキュメント、他にもHex表記等でより詳細な情報を掴みたいときは、

③ビューペインの各項目で必要な情報を確認する。

というような流れになるかと思います。

(④フィルタ/コンディションペインは任意のタイミングで絞り込みを行い、①②③を通して情報を取得していただけます。)

 

 

次回は、EnCaseのプロセッシングの機能についてご案内したいと思います。プロセッシングを行うことでより多くのデータを発見できるようになりますので、ご興味があるという方は是非ご覧くださいませ。