ナレッジ | フォーカスシステムズサイバーフォレンジックセンター

メールでのお問い合わせ
お問い合わせはこちら
東京証券取引所 プライバシーマーク ISMS JUSE

ナレッジ

ホーム > ナレッジ > Articles > EnCase入門 ~ケース作成とエビデンスのマウント~
«  |  Articles トップへ  |  »

EnCase入門 ~2つの検索機能~

EnCase Forensic入門第4回 ~2つの検索機能~

 

前回は EnCase 入門第3回ということで、EnCase のプロセッシング機能についてご紹介しました。

 

今回は、EnCase に搭載されている2つの検索機能である「Rawキーワード検索」と「インデックス検索」についてご紹介いたします。

 

インデックス検索と Rawキーワード検索を活用すると、ファイルの名前やメールアドレス、アイテムの作成日時やドキュメント内の単語などに対して検索を行うことができるので、目的のアイテムを効率よく見つけることができるようになるかと思います。

 

では早速、それぞれの使い方と特徴をご案内していきましょう。

 

 

Rawキーワード検索

 

1つめの検索機能は、「Rawキーワード検索」という検索です。この検索は、主にファイル内のバイナリデータ(テキストデータ)を検索対象として検索します。一部のフォレンジックツールでは、この Rawキーワード検索と同じような機能をもつ検索を”ライブ検索”と呼ぶ場合もあります。

 

起動方法は、View: Evidence において、ツールバーの Raw Search All から「New Raw Search All」を選択します。(View: Entries においては、1つ以上のアイテムにブルーチェックを付けた後、ツールバーの Raw Search Selected から「New Raw Search Selected」を選択します。)

 

 

New Raw Search~ を選択すると、Rawキーワード検索の設定プロンプトが表示されます。検索したい単語があれば、随時この画面に反映させていきます。

 

Rawキーワード検索 起動画面

 

それではまず、実際に検索用語の設定をしてみましょう。設定といっても、基本的には検索用語入力欄に入力するだけですので、特に難しい操作はございません。

 

今回使用する検索用語入力欄は、Add Keyword List というボタンを押すことで表示されます。

(Add Keyword Listと同じツールバーにある「New」ボタンを押すと、個別のキーワードごとにより詳細な設定を施すこともできます。)

 

Add Keyword listボタン

 

ボタンを押すと、以下のように Keywords 入力欄と文字コード選択欄が表示されるようになります。

 

 

Add Keyword List 入力画面

 

この画面にて、検索したいキーワード入力していきます。

(上図は、すでに「doc」「xls」「ppt」「pdf」というキーワードを入力している状態です。)

 

ここでは1行1キーワードとして認識されるため、改行してキーワードを入力することで複数の検索を同時に設定することができます。

また、キーワードと同時に、検索に用いる複数の文字コードを設定することも可能です。

例えば、もし検索対象が UTF8 で記述されていた場合、この設定項目で UTF8 にチェックをつけていないと検索にヒットしません。

 

キーワードの入力および文字コードの選択が終わりましたら、画面下の「OK」ボタンを押すことで設定が完了となります。

 

Raw キーワード検索 設定後画面

 

上記の画面では、先ほど設定したキーワードが反映されているのが分かります。

Rawキーワードは、一回の検索に多くの時間がかかる場合があります。そのため、検索対象に間違いがないかしっかり確認しましょう。

 

確認を終えましたら、画面下の「OK」ボタンを押して処理を開始します。

 

 

処理が始まると、前提画面の右下に青いゲージが表示されます。

 

青いゲージ

 

こちらは前回のナレッジでもご案内した「プロセッシングの処理中を表すゲージ」と同じように、Rawキーワード検索の進行度及び現時点でのヒット数を表すものとなります。

 

もし検索実施直後からすぐにヒット数が膨大な数になってしまうのであれば、検索用語を再考する必要があるかもしれません。その際はこの青いゲージをダブルクリックし、以下のように検索の中断を行ってから再度Rawキーワード検索を設定しましょう。

青いゲージと中断

 

 

 

正常に検索が終わると、自動的に画面が切り替わり、検索結果が表示されるようになります。(自動的に切り替わらない場合は、メニューバーのViewから「Keyword Hits」を選択することで結果画面に移動することができます。)

 

検索結果「Keyword Hits」画面

 

 

検索結果では、各キーワードに対して「ヒットアイテム数」と「ヒット箇所数」のそれぞれが表示されます。それぞれの数字をクリックすることで、テーブルペインに該当アイテムを反映させることができるので、必要に応じて使い分けていただければと思います。

 

 

 

Rawキーワード検索は、その場でいつでも実行できる反面、結果が得られるまでに時間が掛かってしまう側面がございます。

 

次にご紹介するインデックス検索は Rawキーワード検索とは反対に、事前に準備が必要なものの、非常に高速な検索が行えるのが特徴となっています。

 

 

インデックス検索

 

インデックス検索は、「どの単語が、どのファイルの、どの部分にあるのか」といった情報をデータベースとしてまとめあげ、検索に用いる手法です。

検索時は、各アイテムを見に行かず、作成したデータベースを参照する…という仕組みになっておりますので、Rawキーワード検索と比較すると非常に高速な検索が行えます。

ただ、そのデータベースは予め作成(インデクシング)しなければなりませんので、今回はその処理も合わせてご紹介いたします。

 

ますは、その検索の基となるデータベースを作成していきましょう。

ツールバーの Process より、Evidence Processor Option を起動します。

 

Processor Option起動画面

 

今回は、この中の「Index text and metadata」という項目にチェックをつけます。これが所謂データベースの作成(インデクシング)に該当する処理になり、これを実施しておくことでインデックス検索が使用できるようになります。

 

Index text and metadata

 

(※ Add Local Device で追加したエビデンスに対しては、Index text and metadata が実行できない場合があります。その際はインデックス検索も使用できませんのでご注意ください。)

 

 

正常にインデクシングが行われていれば、メニューバーの View より「Indexed Items」が選択できる様になります。(「Indexed Items」がグレーアウトして選択できない場合、インデクシングを実施していないか、EvidenceCache が正しく読み込まれていない可能性があります。)

 

メニューバー”View” → Indexed Items

 

 

Indexed Items を選択すると、新たに ”Indexed Items タブ" が開かれます。先ほどの Rawキーワード検索では、「ツールバーから起動して検索結果は別画面」という流れでしたが、今回のインデックス検索では、この画面上で検索から結果の表示までの一通りの流れを追うことができるようになっております。

 

Indexed Itemsタブ

 

検索を実行するには、画面左上の枠に検索したいキーワードを入力していきます。

 

以下の画面は、実際に「”植物”」というキーワードで検索した画面になります。検索結果は即座に画面右側(テーブルペイン)に反映され、画面下部ではヒット箇所が黄色くハイライトされているのが確認できるかと思います。

 

インデックス検索の実行

 

このインデックス検索は、ドキュメントファイル内の文字やファイルのメタデータといった情報を対象に検索を行うため、使い方次第では作成日時などの日時情報を用いて検索することも可能です。

 

 

 

 

まとめ

 

今回のナレッジでは、EnCaseの検索機能であるRawキーワード検索とインデックス検索の2つをご紹介致しました。

 

それぞれの使い方を簡単にまとめますと、

 

Rawキーワード検索

(1) 検索対象となるアイテムを選択し、ツールバーから「Raw Search All(または Raw Search Selected)」をクリックします。

(2) 表示された画面において、「Add Keyword List」をクリックします。

(3) 検索したいワードや文字コードを入力し、OKボタンより「Add Keyword List」を閉じます。

(4) キーワードが反映されていることを確認しましたら、OKボタンで処理を開始します。

(5) 検索が始まりますと、画面右下に青いゲージが走りますので、現状確認及び、場合に合わせてダブルクリックによる検索のキャンセルを行います。

(6) 検索が終了すると自動的に画面が切り替わりますので、結果を確認します。

 

インデックス検索

(1) メニューバーの View より、「Indexed Items」を選択します。

(選択できない場合はインデクシングが行われていないため、Processor Option より「Index text and metadata」を実行します。)

(2) 表示された画面の左上小枠にて、検索したいキーワードを入力します。

(3) 同画面の右側(テーブルペイン)にて即座に検索が反映されますので、結果を確認します。

 

 

 

使い方は以上ですが、それぞれのメリット・デメリットを比較すると以下のようになります。

Rawキーワード検索

メリット :事前準備が不要。個別のアイテムごとに検索が可能。

デメリット:処理に時間がかかる場合がある。

 

インデックス検索

メリット :処理が高速。一部のメールデータやドキュメントファイルの中身など、Rawキーワード検索では検索できないものも検索できる。

デメリット:事前に準備(インデクシング)の処理が必要。

 

 

このように、状況や目的によってどの検索機能を使うのかが分かれてくるとは思いますので、場面ごとに合わせて使い分けていきましょう。

 

次回は、これまで EnCase を用いて調べてあげてきた情報に対し、ブックマーク機能を用いて一つのレポートとして出力する手法について触れていきたいと思います。特にブックマーク機能については非常に多くの場面で使うこともあるかと思いますので、ご興味があるという方はぜひご覧くださいませ。