サポート情報 | フォーカスシステムズ サイバーフォレンジックセンター

お問い合わせはこちら
東京証券取引所 プライバシーマーク ISMS JUSE

サポート情報

ホーム > サポート情報一覧 > 2017.04.10 FTK ソフトウェアアップデート

2017.04.10 FTK ソフトウェアアップデート

AccessDataよりFTKのバージョン6.2がリリースされました。

 

ソフトウェア・アップデート情報
関連する製品 FTK
リリース日時 2017/4/4
ソフトウェアバージョン 6.2

 



バージョン6.2の主な更新内容は、以下の通りです。

 

1. 処理機能の拡張
a. 処理マネージャ("ProcessingHost.exe"及び分散処理マネージャ)により、データベースの更新を効率的に行い、スレッド機能を向上させることができます。
b. "Facebook Messenger"アプリ(Androidプラットフォーム)を、モバイルアプリケーションの解析で利用できるようになりました。
c. "Messenger Plus!(Skypeの拡張機能パッケージのメッセンジャーアプリ)"のログファイルと、"iOS 10"のバックアップファイルが処理対象になりました。
d. "Windows 10 Mail"が処理対象になりました。この処理には、"Email"、"添付ファイル"、"連絡先"の情報が含まれます。
  ライブ状態のWindows 10では、メールデータは正しく取得されません。
  解析を行うために、"Expand Compound Files"で"Unistore Database (Windows 10 Mail)"を選択する必要があります。
e. 以下のファイル形式が処理対象になりました。
  "ELF"(Executable and Linkable Format:コンパイラが生成するオブジェクト、および、ライブラリとリンクされた実行ファイルのファイルフォーマット)
  "Mach-O"(Mac OS X標準の、コンパイラが生成するオブジェクトファイルおよび実行ファイルのファイルフォーマット)
  "CAF"(Core Audio File:iPhoneアプリでのsound effect用に使用する音声ファイルフォーマット)が処理対象になりました。

 

2. 最新OSへの対応
a. Windows 8およびWindows 10における、キーワード検索の認識の改善
  この改善には、Windows 8とWindows 10にインストールされたFTKで行われた検索の解析、保存された検索の解析、使用された検索条件の特定、各検索の日時の表示などが含まれます。
b. JumpListにおける、"DestList"の解析及び表示機能の向上
  この改善には、以下の情報が含まれます。
- アクセスされたファイル
- ファイルへのパス
- ファイルがアクセスされた回数
- ファイルがタスクバーに固定されているかどうか
- 発行されたエントリID番号(アクセスされた順序に基づいてファイルに割り当てられた番号)
- 追跡されているファイルの数
- 発行されたIDの数
c. "Shell Bag"の解析及び表示機能の向上
  これらの改善には、プリフェッチファイル、累計実行回数、最終実行日時の情報が含まれます。
d. "Prefetch"の解析及び表示機能の向上
  この改善により、Windows 10のプリフェッチが表示されるようになりました。また、プリフェッチに含まれる、最大8回までの直近の実行日時が表示されます。
e. "Volume Shadow Copy (VSC)"の解析及び表示機能の向上
  この改善により、Windows 8.1以降の復元ポイントを解析することが出来るようになります。
f. "SAM"レジストリの表示機能改善
  "SAM"レジストリでユーザアカウント情報を表示する際、以下の情報が表示されるようになりました。
- Surname(ニックネーム)
- UserPasswordHint(パスワードヒント)
- InternetUserName
- InternetUID(クラウドストレージのローカルID)
  これまでプロパティにおいて"SID unique identifier"と表示されていた項目は、"RID unique identifier"と、正しい表示になりました。

 

3. ユーザインターフェースの更新
a. "Baseline Forensic Processing"オプション設定の更新
  ケース作成時に指定する"Processing profile"の各ベースラインの設定が更新されました。
b. Emailスレッドペイン搭載
  Summation及びえDiscovery製品と同様に、FTKでも、Emailのスレッドを表示するペインが新たに加わりました。
c. Goelocation機能の拡張
  "KML"形式及び"KMZ"形式のファイルをエクスポート出来るようになりました。これにより、Google Earthなどの"KML"形式のファイルがインポート出来るアプリケーションの地図情報データが表示できます。
d. "Person of Interest"機能の搭載
  Emailの署名などからメールアドレスなどの連絡先情報を、フィルタに使用することができます。従来の、メールの送信者・受信者などの特定のアーティファクトの特定のカラム上でのフィルタリングだけでなく、該当する連絡先情報が含まれるのであれば、あらゆるアーティファクト、カラム、証拠セット(ラップトップ、スマートフォン、クラウドなどのデータなど)から横断的に該当する情報を引き出すことができます。
たとえば、調査担当者はEmailの署名から連絡先情報を取り出し、電話番号、チャット、またはSMS通信を同じ関心のある人物に接続するために、記述された携帯電話番号に基づいてフィルタリングすることができます。
"Persons Of Interest"処理項目 (1)

"Persons Of Interest"処理項目 (2)

"Persons Of Interest"処理項目 (3)
e. ケース及びユーザ管理のカラムの並び替え
  この機能により、管理画面での並び替えが可能になり、多数の調査者の中からユーザを見つけたり、管理画面でユーザを確認しやすくなります。
f. Active Directoryグループの強化
  LDAPを有効にしている管理者は、Active Directoryからグループを取得することができます。

 

4. 削除されたパーティションファインダー
a. より多くの種類のパーティションテーブルがサポートされるようになりました。

 

5. "Properties"タブのファイル保存
a. "Properties"タブの情報を、任意の場所の右クリックで、以下の形式でエクスポートし、保存することが出来るようになりました。
  CSV
  HTML

 

6. インデクシングの強化
a. インデクシング対象のファイル形式が強化されました。原則、複合ファイルは"Expand Compound Files"処理で展開することでインデクシングを実施することが出来ますが、以下のファイル形式は、"Expand Compound Files"処理を経ず常にインデクシング処理を行うことができます。
  Google Chrome(ブックマーク / キャッシュ / SQLite)
  イベントログ(EVT / EVTX)
  EXIF
  FireFox(キャッシュ / SQLite)
  Internet Explorer(Cookies / Recovery / キャッシュ / その他各種ファイル)
  Skype(SQLite)
  その他SQLiteファイル
  Windowsサムネイル

 

7. "Decrypt"機能の強化
a. 以下のファイル形式の暗号化が、"Decrypt"より復号・解除処理出来るようになりました。
  Windows 10用Bitlocker復号化(ケースへの追加時に自動的に識別されます)
 

FileVault2で作成されたMacイメージ(ケースへの追加時に自動的に識別されます)
※ macOS 10.12 (Sierra) まで対応しています。

  Chromeパスワードの復号化
  FireFoxパスワード解読

 

8. エージェントがインストールされるOSのサポートの追加と除外
a. 以下のOSに、FTKのエージェントがインストール及びサポートされるようになりました。
  MacOS 10.11 及び 10.12
  Windows Server 2008 R2、2012 R2、及び 2016
  Windows 8、8.1、及び10
  Linux(Red Hat 7まで)
b. 以下のOSの、FTKのエージェントのインストール及びサポートは、除外されました。
  Windows 2000 / XP / Vista
  Mac OS 10.8 以前
  Solaris

 

9. ソフトウェアサポートの追加及び除外
a. 以下のサポートを追加しました。
  SQL Server 2014(SQL Server for FTK)の公式サポート
  Windows Server 2016への公式サポート
  NSRLのバージョンを、2.54にアップデート
  パフォーマンスを向上させるため、SQL Serverの既定の設定を更新
b. 以下のサポートを除外しました。
  SQL Server 2008 R2(SQL Server for FTK)
  MapQuest Geolocation
  Oracle Database

 

その他、様々なバグフィックスを行いました。



その他の情報につきましては、「Release Notes」よりご確認ください。

https://ad-pdf.s3.amazonaws.com/ftk/FTK%206.2/FTK_6_2_RN.pdf