ナレッジ | フォーカスシステムズサイバーフォレンジックセンター

メールでのお問い合わせ
お問い合わせはこちら
東京証券取引所 プライバシーマーク ISMS JUSE

ナレッジ

ホーム > ナレッジ > Articles > EnCase入門 ~ケース作成とエビデンスのマウント~
«  |  Articles トップへ  |  »

EnCase入門 ~プロセッシング機能~

 

EnCase Forensic入門第3回 ~プロセッシングの機能~

 

前回は EnCase 入門第2回ということで、EnCase の基本画面となる Evidence タブ「View: Entries」についてご紹介しました。

 

"エビデンス内の中身を表示している画面「View: Entries」"

 

今回は、EnCase のプロセッシング機能である「Evidence Processor」を活用し、メールデータの解析やハッシュ値の算出といった様々な処理をエビデンスに対して施していきます。

このプロセッシング機能を活用すると、複合ファイル内のアイテムも閲覧できるようになったりするので、より多くの情報を収集可能になるかと思います。

 

 

プロセスのかけ方

 

今回のメインとなる項目は、ツールバーに含まれる「Process」の項目です。

 

"ツールバー「Process」"

 

(上の画像は Evidence タブの「View: Entries」を表示しておりますが、「View: Evidence」におきましても同様に、ツールバーの「Process Evidence」を介すことで起動することができます。)

 

Process を選択しますと、以下の画像のように「EnCase Processor Option」というダイアログが表示されます。

 

"EnCase Processor Optionダイアログ"

 

このダイアログでは、プロセス対象となるエビデンスを選択し、どんな処理を行いたいのかを選ぶことで簡単に処理をかけることができます。

 

ではまず、対象となるエビデンスの選択を行ってみましょう。

EnCase Processor Option ダイアログの左上部分「What to Process」に注目します。

 

"What to Process"

 

ここでは主に、以下の4つ(初期段階では3つ)の項目が選択できるようになっています。

 

(1) Unprocessed Evidence File

  プロセッシングを行っていない全てのエビデンスファイルを対象にします。( )内の数字は、対象となるエビデンスの数を表しています。

 

(2) Selected Unprocessed Evidence Files

  プロセッシングを行っていないエビデンスファイルの中で、選択したもののみを対象にします。( )内の数字は、対象となるエビデンスの数を表しています。

 

(3) Current Item

  今現在 View: Entries で閲覧しているエビデンスファイル1つを対象にします。複数のエビデンスファイルを View: Entries に表示している場合、ツリーペインにてハイライトしているエビデンスが対象になります。また、( )内には対象となるエビデンスの名前が表示されます。

 

(4) Result Set

  検索機能やフィルタリング機能などによって絞り込まれた結果(Result)のみを対象にします。( )内には、絞込みの際に用いられた結果(Result)の名前が反映されます。初期段階では絞込み等を行っていないことが多いため、こちらは選択できない状態になっているかと思われます。

 

 

 

プロセス対象を選択し終えましたら、次にどんな処理を実施するのかをチェックボックス形式で選択していきます。

ダイアログ画面の左下部分に注目してみましょう。

 

"プロセッシングの項目"

 

 

こちらには、「Expand compound files(複合ファイルの展開処理)」や「Find email(メール解析)」というように、エビデンスに対して施すことができる処理の項目一覧が並んでいます。

 

今回は、特によく使われる項目について簡単にご紹介致します。

 

・File signature analysis

拡張子とそのファイルが持つシグネチャ情報を照らし合わせることで、拡張子が偽装されていないか等を見分けることができます。

 

・Hash analysis

ハッシュ値の算出という処理を行うことで、全く同じデータが存在していないかを判断することができます。人間で言うところの「指紋」や「DNA」に例えられることが多く、全く同じデータは同じハッシュ値を、1byte でも異なるデータは全く異なるハッシュ値が算出されます。

 

・Expand compound files

複合ファイルの展開を一斉に行い、それらに格納されているアイテムを調査することができるようになります。パスワードがかかっている複合ファイル等に関しましては、別途展開作業を行う必要があります。

 

・Find email

メールのソフトウェアに用いられるファイルを解析します。Microsoft Outlook に使用されるpstファイルなどを解析すると、メールの送受信履歴や添付ファイル、スケジュール情報といった様々なデータを取得できるようになります。

 

・Find Internet artifact

Web の閲覧履歴やダウンロード履歴など、ブラウザに関するデータを解析します。単なるWebサイトへのアクセス履歴だけでなく、ファイルへのアクセス履歴もブラウザに記録される場合があるため、そちらの調査に対しても活用することができます。

 

・Index text and metadata

EnCase が搭載している検索機能の一つである「インデックス検索」を使用するために実施します。処理に多少の時間がかかる場合がありますが、高速で多機能な「インデックス検索」を使用することができるようになります。

 

 

 

上記のような各項目におきましては、それぞれの項目をハイライトすると、画面の右半分に詳細な情報が表示されます。

以下の画像は「Find Internet artifact」をハイライトしている状態ですが、画面の右半分にサポート対象となるブラウザバージョン等の情報が表示されているのがお分かりいただけるかと思います。

 

"Find Internet Artifact 詳細"

 

これから行う処理がどういうものなのか、何を対象にしているのか、といった情報も併せて確認することができますので、是非注目していただければと思います。

 

では、実施したいプロセスの選択が終わりましたら、画面下部にある「OK」ボタンを押して処理を走らせてみましょう。

 

"処理の開始"

 

 

 

処理の確認

 

処理が始まると、画面右隅に進行度合いを示すゲージが表示されます。

 

"処理中を表すゲージ"

 

このゲージをダブルクリックすると「Processor Manager」という画面に移動し、これまでに実施した処理を確認することができます。(「Processor Manager」は、メニューバーの View から”Processor manager”を選択することでも開くことができます。)

 

"Processor Managerの表示"

 

この Processor Manager の画面では、進行中のプロセスの確認はもちろん、過去に実施していたプロセスの履歴も記録されておりますので、これまでにどんなプロセスを実施したのかを把握するためにも活用できます。

また、誤って意図しない項目のプロセスをかけてしまった場合にも、この Processor Manager の画面からプロセスの中止(Stop 及び Force Stop)を選択することで、処理を中断することも可能です。

 

 

 

処理の反映

 

一通りの処理が終わりますと、画面右下のゲージは消え、Processor Manager 上での表記も”Completed”という表記に変わります。

"プロセスに関するゲージの変化"

 

"Processor Manager上の表記の変化"

 

これらの表記が確認されれば、プロセッシングは完了です。

 

プロセッシングが終わった際ですが、一部の処理は画面の読み込み直しを行わないと結果が反映されないことがあります。ツールバーの一番右にあります「リフレッシュボタン」を押して、処理結果の反映を忘れずに実施しましょう。(ケースの読み込みなおしや、View: Evidence → View: Entries による画面遷移でも画面への反映を行うことができます。)

 

"リフレッシュボタン"

 

"View: Evidence から View: Entries への切り替え"

 

 

 

処理の反映まで行うことができましたら、テーブルペインや他のタブを確認し、プロセッシングによって得られた様々な情報を活用していきましょう。

 

例としまして、以下の画像では3つのファイルとそれぞれのハッシュ値を並べております。

 

"ハッシュ値算出の結果"

 

こちらに出てくる「EnCase Forensic 設定方法.pptx」と「EnCase Forensic 使い方.pptx」は、異なるファイル名でも同じハッシュ値を持っていることが見て取れます。このことから、これら2つのファイルは中身が全く同じデータであるということが判断できます。

 

このように、プロセッシングを通してデータの解析を行うと、一見しただけではわからないような事実も浮かび上がってくることがあります。今回ご紹介した項目以外にも、EnCase には様々な処理機能が搭載されておりますので、是非ご活用いただければと思います。

 

 

 

まとめ

 

今回のナレッジでは、EnCase に備わっているプロセッシング機能というものをご紹介いたしました。

 

基本的な流れとしましては、以下のようになります。

(1) ツールバーから「EnCase Processor Option」のダイアログを起動します。

(2) 解析したいエビデンスと、どのような処理を行いたいのかを選択します。この際、画面の右半分には各処理項目の詳細が表示されますので、そちらも併せて確認します。

(3) ダイアログ画面下部の「OK」ボタンを押して、プロセッシングを開始します。EnCase の画面右下隅には、処理中を現すゲージが表示されます。

(4) 実施したプロセッシングについて、「Processor Manager」によって確認(及び中断)を行います。

(5) ゲージが消えたり、処理のステータスが Completed となったらプロセッシングが終了です。ツールバーの右隅のリフレッシュボタン等を使用して、画面に処理の結果を反映させます。

(6) 得られた処理結果を基に、より深い調査・解析を行います。

 

今回ご紹介し切れなかったプロセッシングの項目やそれぞれの詳細な活用方法に関しましては、EnCase の Helpページ又は弊社のトレーニングにてご紹介しておりますので、そちらもご参照いただければと思います。

 

 

次回は、EnCase が搭載している2つの検索機能についてご案内したいと思います。少しだけ触れましたインデックス検索や、正規表現が使える Rawキーワード検索というものについてご紹介いたしますので、ご興味があるという方は是非ご覧くださいませ。