製品 | フォーカスシステムズ サイバーフォレンジックセンター

メールでのお問い合わせ
お問い合わせはこちら
東京証券取引所 プライバシーマーク ISMS JUSE
ホーム > 製品 > データ調査解析ソフトウェア > Forensic Toolkit(FTK)

Forensic Toolkit(FTK)

Forensic Toolkit® (FTK®) は、世界中で利用されている標準デジタルフォレンジック調査ツールです。

FTKは、速度・安定性・使いやすさを実現するために構築された、デジタルデータを調査するためのプラットフォームです。フィルタリングや高速検索などの機能を活用することにより、解析速度が劇的に向上し、証拠となり得るデータを絞り込んだ調査を行うことが出来ます。ファイルやドライブ内の構造だけでなく、レジストリや、暗号化されたファイルのキーやパスワードを解析するパッケージも取り揃えており、フォレンジック調査に必要な機能が包括的に網羅されています。

さらにFTKでは、VolumeShadowCopy (VSS) の解析機能などの幅広い解析ニーズに即し、最先端の技術に対応した解析能力を提供しています。

主な機能

FTKでは、フォレンジックの各過程に応じた機能を搭載したツールを、パッケージソフトウェアとして提供しています。

FTK - All in one

保全・検証

■ 使用ツール
 FTK Imager

>> FTK Imager (v4.1.1)は無料でご利用頂けます。ダウンロードはこちらから! <<
(EXE)MD5:d7eb05554cf0a93955b44aec7062bb01 SHA-1:500e8de3c88f622e82fe0c65105a9a2f51a93420
(ZIP)MD5: e1f75826a4ba2e2b6f442080f6df5804 SHA-1:a1389ed2158c4c50443bdccd47471548eee9632b

※ FTK Imagerおよびダウンロードの詳細はこちら

簡易閲覧
デバイス内に格納されているファイルのレビュー機能搭載。本格解析の前に、状況把握や解析対象ファイルの選定に活用出来ます。

データ保全・収集
HDDやUSBメモリ等の様々なデバイスのデータ取得に対応。イメージファイルの形式で、未使用領域を含めたストレージ全体を保全します。一方で、特定のフォルダ以下のみや特定のファイル形式のみ等のデータ収集にも対応しています。

ハッシュ値計算
作成したイメージファイルのハッシュ値と保全元のデバイスのハッシュ値を比較・検証し、データの完全性を検証します。

解析

■ 使用ツール
 FTK, Registry Viewer, PRTK (Password Recovery Toolkit)

■ 多彩な解析・証拠表示能力
調査で頻繁に閲覧する必要のある画像や映像、PDF・Microsoft Office等のドキュメント、Microsoft Outlook等のメールデータ等、200種類以上の内蔵ビューアで閲覧出来ます。そのため、閲覧に必要なアプリケーションを導入する必要はありません。また、画像ファイルの一覧表示、タイムライン表示等、ニーズに合わせた表示機能を取り揃えています。
またレジストリ解析も、Registry Editorライクなインターフェースにより、ストレスなく解析を行うことが可能です。特定のキーワードや日時などで絞り込み、効率的に解析出来ます。

■ キーワード検索 (Live/Index)
特定のキーワードでディスク内の検索が行えます。特定言語によるキーワードはもちろん、文字コードやパターンナンバーなどのパターン検索にも対応しています。また、インデックスを作成すれば検索結果を迅速に得ることが可能になります。

■ 暗号化・パスワード解析
120種類以上のファイルやサービスのパスワードロック・暗号化のキー解析に対応。秘匿情報に対する解析に役立ちます。

報告、エクスポート

■ レポート作成機能
調査結果をまとめたレポートを作成します。特に、手動での作業では手間のかかるファイルのリストやツリー構造での表示が簡単に行えます。

■ ファイルのエクスポート
発見したデータを依頼人に提供したり、別ツールで解析したりする際に便利なデータの出力機能を備えています。

FTKによる解析

■ 解析の目的に応じたユーザインターフェースを提供
素早く対象のファイルやデータを絞り込み、発見出来るよう、Emailや画像など、解析目的に応じたタブ形式のインターフェースを採用。特に『概要 (Overview)』タブでは、ファイルを形式ごとに仕分けるため、容易に解析対象のファイルを絞り込むことが出来ます。

005FTK の基本画面

■ 画像・映像のサムネイル表示
解析対象の画像・映像を、サムネイル表示します。サムネイルを生成する際、再生時のインターバル(再生全体におけるパーセンテージごと、再生後の秒数ごと)を指定して、サムネイルを生成することが出来ます。

003ビデオサムネイル画面

■ インターフェース画面のカスタマイズ
FTKには、ツリー構造やファイルリストといった、通常利用するインターフェース画面の他、画像・映像のサムネイルやメールの添付状況など、目的別のインターフェース画面を多数揃えています。それぞれの画面を、解析の目的に応じて自由に組み合わせ、独自のインターフェースを用意することが出来ます。

004カスタマイズされたインターフェース (例:メール添付ファイルをサムネイル表示)

Registry Viewerによる解析

■ Registry Editorライクなユーザインターフェース
レジストリ・キーの展開やキー内の値の表示など、Registry Editorライクなインターフェースであるため、ストレスなくレジストリ解析を行うことが出来ます。

キープロパティペインでは、キーごとの最終更新日時(NT系レジストリ)や、特定のキー内に記録されている値が、解析しやすい形式で表示されます。調査対象となるコンピュータの設定状況、特定のユーザの行動履歴などを素早く解析することに役立ちます。
その他、特定のキーワードやキーの最終更新日時によって絞り込みを行い、特定期間のレジストリの動きから、コンピュータの設定状況やユーザの行動履歴を解析することが出来ます。

Registry ViewerRegistry Viewer インターフェース

PRTK (Password Recovery Toolkit) による解析

■ 多種多様なファイルやサービスのパスワード・暗号化のキーの解析に対応
120種類以上のファイルやサービスに設定されている、パスワードや暗号化のキーを解析し、表示します。解析するための攻撃方法として、以下の4種類の手法を搭載しています。

・辞書攻撃 (Dictionary)
・アルゴリズム脆弱性攻撃 (Decryption)
・総当たり攻撃 (Key Space)
・パスワードリセット (Password Reset)

PRTKパスワード解析画面PRTK (Password Recovery Toolkit) によるパスワード解析

■ オリジナルの辞書作成
複雑なパスワードが設定されている場合、そのパスワード情報(もしくはそれに類推する情報)が、調査対象のコンピュータに保存されている(もしくは痕跡として残っている)ことがあります。FTKやRegisrty Viewerを使用して、調査対象コンピュータ内の単語の一覧を抽出し、オリジナルの辞書としてPRTKで活用することが出来ます。

FTK Imagerによるデータ保全

■ シンプルな操作性でドライブからデータを保全可能

FTK Imagerと書込防止装置を併用することでPCのドライブやUSBメモリなどのフラッシュメディアから以下の形式で簡単にイメージファイルを作成可能です。

・001 (RAW/DD)
・S01 (SMART)
・E01 (EnCase)
・AFF
・AD1

保全されたデータは自動的にハッシュ計算され、コピー前後で完全性が損なわれていないかを検証可能です。
さらに、内蔵ビューアーを使用することでドライブ内のファイルを簡易閲覧することもできます。

FTK Imager

FTK Imagerによるデータの簡易閲覧

>> FTK Imager (v4.1.1)は無料でご利用頂けます。ダウンロードはこちらから! <<
(EXE)MD5:d7eb05554cf0a93955b44aec7062bb01 SHA-1:500e8de3c88f622e82fe0c65105a9a2f51a93420
(ZIP)MD5: e1f75826a4ba2e2b6f442080f6df5804 SHA-1:a1389ed2158c4c50443bdccd47471548eee9632b

※ ダウンロードの際、Chromeなどの一部のブラウザでは警告が表示されることがあります。
ダウンロードを続行する場合は右端の下向き三角ボタンをクリックし、「継続」を選択してください。

解析をより円滑にするための様々な機能

■ Volume Shadow Copy (VSS) 解析
Windowsの『システム復元』機能によって取得されたバックアップファイル "Volume Shadow Copy" を解析する機能です。
"Volume Shadow Copy" バックアップファイルは、Evidence内のファイルの変更箇所のみをかき集め、1つのファイルにまとめたものに過ぎず、具体的な解析を行うことが困難でした。FTKは、バックアップファイルに取得されたデータと現在のファイルやフォルダの構造を組み合わせ、バックアップファイルが取得された当時の構造を形成し、表示します。過去のEvidenceの状況や状態の解析に効果的です。

001VSS (Volume Shadow Copy) を展開した時のツリー構造

■ Visualization
Evidenceに格納されているファイルの種類やそれぞれの個数、ファイルの作成や更新などの日時情報から導き出されるコンピュータの利用状況、メールのやり取りやその頻度を視覚化して表示する機能です。Evidence内の状況を直観的に把握することが可能で、解析対象の日時やユーザの素早い絞り込みに効果的です。
Visualizationで表示したグラフのスクリーンショットをFTKのレポートに反映させることも可能です。
Visualizationは、以下の機能を搭載しています。

・タイムライン (ファイルやメールの日時情報を、時系列のグラフで表示)
・配分チャート (Evidence内における拡張子やファイル形式ごとの含有率を表示)
・Traffic Details (特定期間のメールアドレス間の通信量の詳細を表示)
・Social Analyzer (特定メールアドレス間での通信量の詳細を表示)

FTK Visualization FTK VisualizationVisualization インターフェース

 

■ Cerberus
Cerberusは、FTKに統合された、マルウェアを素早く発見するためのトリアージ・ソリューションです。
感染が疑われるEvidenceに対してスキャンを行い、発見に際し、以下の二段階のステージで危険度をふるいにかけるため、効率的にマルウェアもしくはそれに近似のプログラムの選別を行うことが出来ます。

・第1段階 : 悪意のあるコードを検索するため、ファイルのメタデータや内容をバイナリスキャン
・第2段階 : 第1段階で設定以上のスコアが算出されたファイルに対し、逆アセンブルでコード解析

これにより、マルウェアによく見られる防御機能を発動させることなく解析が可能です。Cerberusは、従来のマルウェアスキャンのようなシグネチャベースでのスキャンや、サンドボックスで実行させるような検知方法ではありません。

※ Cerberusは、FTKのアドオンモジュールです。

002Cerberus 解析画面

AccessDataについて

AccessData社は、20年以上に及び、デジタル・フォレンジック及び訴訟対策の分野を開拓してきました。現在も増加傾向にあり、また多様化してい る、デジタル・フォレンジック調査やeDiscovery、法律やコンプライアンスの変化に対する様々なツールやサービスを、スタンドアロンもしくはエンタープライズの両方の側面で提供しています。
法執行機関、政府機関、世界中の企業や法律事務所など、13万を超える顧客に対しAccessDataのソフトウェアやソリューションを提供しています。フォーカスシステムズでは、AccessData社と正式な代理店契約を締結し、同社製品の販売・サポート、及び公認トレーニングを実施しております。

またAccessData社では、デジタルフォレンジックのトレーニングと認定資格のリーディングプロバイダです。既に多くの解析官が、認定資格である AccessData Certified Examinar® (ACE®) 及び Mobile Phone Examiner Certification (AME) を取得しています。

製品及びサービスに関するご質問、お問合せはこちら
関連製品
BlackLight CFC Edition
plistやfseventsログの自動解析など、MacOSに特化 ...
詳細
MAGNET AXIOM
LINEなどのスマホチャットアプリやインターネット ...
詳細
EnCase Endpoint Investigator
リモート操作で遠隔地の端末からメモリやディスク ...
詳細
Nuix Collector Suite
ネットワーク経由で遠隔地からデータの収集、検索 ...
詳細
Nuix Investigator inc-TR Licence
多くのメール形式に対応し、ユーザ間の送受信の可 ...
詳細
EnCase Endpoint Security
EnCase Endpoint InvestigatorにWebコンソールや ...
詳細
Internet Evidence Finder(IEF)
インターネット関連の証跡を自動解析
詳細
EnCase Forensic
独自のスクリプト言語により任意の機能拡張が可能 ...
詳細