QualityNet サイバーフォレンジック事業部

03-6260-9237

営業時間(9:00~17:30)定休日(土曜・日曜・祝祭日)

カタログ
ダウンロード お問い合わせ

よくあるご質問

ホーム > よくあるご質問 > Magnet AXIOM

AXIOM でチャットが分類されない

エラー、症状

AXIOM Process で対象デバイス内のチャットを分類するため、Magnet.AI によるチャット分類 (カテゴリー分け) を有効にしましたが、ほとんどの会話で分類が行われていません。

チェックを付ける以外に、必要な条件、設定などがあるのでしょうか?

原因

現在、Magnet.AI によるチャットの分類の対象は英語のみとなっています。日本語のチャットのは対象外です。

解決方法

申し訳ありませんが現在のところ、日本語のチャットを分類する方法はございません。

AXIOM で画像の分類後、結果が確認できない

エラー、症状

AXIOM Process で対象デバイス内の画像の分類を行いましたが、結果をどう確認すればいいかわかりません。

結果がAXIOM Examine のアーティファクト一覧に出るわけではないのでしょうか?

原因

Magnet.AI によって分類された画像には該当するカテゴリーに基づくタグが付与されます。カスタムアーティファクトとは異なり、専用のアーティファクトカテゴリーが作成されるわけではありません。

例えば、スクリーンキャプチャ (Screen captures) として分類された画像は「possible screen captures」というタグがついた状態になります。

解決方法

分類された画像を一覧表示する場合は、AXIOM Examine 画面上部のフィルターバーの 「Tags and comments」から対象のカテゴリー名で絞り込みを行います。

下図は、スクリーンキャプチャとして分類されタグ付けされた画像を表示する例です。

「OKAY」を押下すると、フィルタが適用され、Magnet.AI がスクリーンキャプチャとして分類した画像が一覧で表示されます。

AXIOM の検索で対象ドライブにあるはずの情報がヒットしません

エラー、症状

AXIOM Examine の右上に表示される検索窓からキーワード検索を行っても、そのキーワードを含む情報がヒットしません。指定したキーワードを含むファイルが存在することは、ファイルエクスプローラー上で確認できます。

原因

AXIOM Examine のフィルターバーの検索は、通常、アーティファクトとしてカテゴリー分けされた情報のみを対象とします。
その他のディスク領域は設定を変更しない限り、検索対象になりません。

解決方法

AXIOM Process で処理を行う際、全コンテンツを対象にキーワードを設定することで、検索が可能になります。

この設定を行うには、ケース作成時に画面左のメニューから「Add keywords to search」を選択します。

キーワードの検索対象をデフォルトの「Artifacts」から「All content」に変更します。

以降は通常の検索設定と同様です。状況に応じてキーワードファイルのインポートもしくは、個別のキーワードを追加します。
※ ディスク全体を対象としたキーワード検索でも、正規表現が使用可能です。

※個別ファイルに関してはファイルエクスプローラーから該当するアイテムを選択後、Text/Hex ビューで検索を行うことも可能です。

AXIOMで処理したデータにハッシュ値が計算されていないものがある

エラー、症状

AXIOM Examine からファイルを参照した際、ハッシュ値が表示されないものがあります。
上例では、画面左の「swapfile.sys」では、MD5 ハッシュが表示されているが、画面右、同じケース内にある「pagefile.sys」にはMD5 ハッシュが表示されていない。

原因

AXIOM では500MB を超えるサイズのファイルは通常、ハッシュ計算されません。
また、フォルダーなど、性質上ハッシュ値計算の対象にならないアイテムもあります。

解決方法

ハッシュ計算を行うファイルサイズを変更するには、AXIOM Processの [Tools] > [Settings] から以下の設定を変更します。

上記項目のチェック自体を外すことで、全ファイルを対象にすることも可能です。
※ その場合もフォルダーは計算対象になりません。

AXIOM Process の Search type の違いについて

エラー、症状

AXIOM Process で対象デバイスの証拠処理を行う際に表示される、「Full」と「Sector level」の違いがわかりません。証拠デバイスの全領域を対象に、可能な限り多くのデータを解析したい場合、どちらを選べば良いでしょうか?

原因

選択項目に詳細が表示さないため、違いが分かりにくくなっています。

Sector level では、ファイルシステムの解析を行わず、データをセクター内のビットごとに処理します。

解決方法

AXIOM Process が対応するファイルシステムのドライブを解析対象とする場合、「Full」を選択した方がより多くのデータが解析可能です。通常は「Full」をご選択ください。

  • 「Full」では、ドライブもしくはイメージの全領域を対象にアーティファクトを検索します。この際、ファイルシステムの解析も併せて行うため、対象ファイルが断片化している場合でもファイルを正しく認識して処理することが可能です。
  • 「Sector level」では、ドライブもしくはイメージの先頭から順にデータを読み込み、カービング可能なアーティファクトを検索します。Full と同様、全領域を対象としますが使用されるファイルシステムを認識せずに動作します。そのため、対象ファイルが断片化している場合は処理が不正確・不完全になる可能性があります。
    (例えば、画像ファイルに含まれない領域が画像ファイルの一部として解析処理され、画像が部分的にしか表示できなかったり、圧縮ファイルの一部だけが抽出されたりすることがあります)

※ 未対応のファイルシステムを持つドライブの解析や、一部に暗号化等が施され復号が行えない領域がある場合、一部が欠損したドライブから可能な限りデータを再構築したい場合は、「Sector level」での解析が有効です。

TOP