QualityNet サイバーフォレンジック事業部

03-6260-9237

営業時間(9:00~17:30)定休日(土曜・日曜・祝祭日)

カタログ
ダウンロード お問い合わせ

Magnet AXIOM Examine: ケースの表示 ① - ナレッジ&テクニック

ホーム > 記事 > ナレッジ&テクニック > Magnet AXIOM Examine: ケースの表示 ①

Magnet AXIOM Examine: ケースの表示 ①

本項では、Magnet Forensics 社製フォレンジックツール Magnet AXIOM を用いたケースの閲覧について解説します。

以下、Magnet AXIOM v4.0.1 を使用していますが、基本的な操作方法は他のバージョンでも同様です。
現在、日本語インターフェースの改善作業中のため、メニューの項目、表記は変化する場合があります。

AXIOM によるケース処理の詳細は、以下をご参照ください。

https://cyber.quality-net.co.jp/knowledge_detail/998/

既存ケースの参照

AXIOM Process によって証拠処理が開始されると、ケースの閲覧用ツールの AXIOM Examine も自動的に起動し、ケースが開かれた状態になります。

自分で AXIOM Examine を起動した場合は、「ケースまでブラウズする」を押下して目的のケースフォルダー内にある、Case.mfdb ファイルを指定します。

また、「最近のケースを開く」には新しいものから順に最大9つまでのケースが表示されますので、それらのケースを指定することでもケースを参照することができます。

ケースダッシュボード

AXIOM Examine 上でケースが開かれると、始めにケースダッシュボードが表示されます。

この画面から、解析実行者や解析対象ファイルの場所、解析結果の概要などを参照可能です。

ケースダッシュボードの画面は大きく3つのペインに別れます。

  1. 「ケース概要」ペイン (画面左) : ケース作成時の設定や処理のログが参照可能なペインです。
  2. 「エビデンス概要」ペイン (画面中央) : 解析対象のエビデンスの情報が表示されます。
    対象エビデンスに関する画像 (保全時に撮影したものなど) がある場合、「写真の変更」から画像を追加できます。
  3. 「開始する場所」ペイン (画面右) : ケース内のアーティファクト数がヒストグラムで表示されます。リンクから対象のアーティファクトへ移動することも可能です。ケース内でタグ付けやプロファイル設定を行うとリアルタイムで項目数が変化し、最新の状態が常に反映されます。

アーティファクトエクスプローラー

AXIOM Process が解析したアーティファクトが表示される画面です。
調査作業の大部分で、このアーティファクトエクスプローラーが使用されます。

アーティファクトエクスプローラーを表示するには、AXIOM Examine の画面左上部にある プルダウンから、「アーティファクト」を選択します。

ケースダッシュボードを閲覧している場合は、「開始する場所」ペインの「アーティファクトカテゴリーをすべて閲覧する」からも表示の切り替えが可能です。

アーティファクトエクスプローラーの画面は大きく5つに別れます。

  1. 「フィルターバー」(画面上部) : 条件を指定してアーティファクトの絞り込みや検索に使用します。通常背景が灰色ですが、フィルタリング中は背景が黄色に変化します。
  2. 「ナビゲーション」ペイン(画面左) : ケース内のアーティファクト数をカテゴリー別に表示します。
  3. 「エビデンス」ペイン (画面中央) : ナビゲーションペインで選択されたアーティファクトが表示されます。通常は「列ビュー」と呼ばれる形式になっていますが画像のサムネイル表示や、チャットスレッドをまとめて表示するなど調査対象に応じたビューの切り替えにも対応しています。
  4. 「詳細」ペイン (画面右) : エビデンスペインで選択されたアーティファクトのプレビューやメタデータなどの情報が表示されます。
  5. 「タグ、コメント、プロファイル」ペイン: 上図では隠されていますが、画面最右の「タグ、コメント、プロファイル」タブを押下すると表示されます。アーティファクトに対するタグやコメント付与、プロファイルの設定に使用します。

ペイン内の二重矢印ボタン(下図赤枠の「<<」もしくは「>>」) を押下すると、該当するペインを折りたたみ、非表示にすることが可能です。

下図赤枠の別窓で表示ボタンでは、該当するペインを切り離して表示できます。

ファイル システム エクスプローラー

AXIOM に読み込んだエビデンスのファイルシステムを解析し、ツリー構造で表示した画面です。

ファイル システム エクスプローラーを表示するにはAXIOM Examine の画面左上部にある プルダウンから、「ファイル システム」を選択します。

各ペインはアーティファクト エクスプローラーと同様ですが、一部項目が少なくなっています。フィルターバーでは、「ファイルサイズ」、「日時」、「ファイル属性」、「タグおよびコメント」のみ指定可能です。エビデンスペインのビュー表示は、「列ビュー」と「行ビュー」のみ指定可能です。

ファイル システム エクスプローラーの表示範囲は以下の2つから選択可能です。

  • 「選択したフォルダーのみ」: ナビゲーションペインで選択したフォルダー内のアイテムを表示します。サブフォルダーがある場合、サブフォルダーの情報だけが表示されます。

– – –

  • 「すべてのサブフォルダー」: ナビゲーションペインで選択したフォルダー内のアイテム、および、サブフォルダー内の全アイテムが表示されます。

エビデンスペイン上部にはパンくずリストが表示され、現在の表示位置を参照可能です。

詳細ペインでは、アイテムのプレビュー、メタデータの情報に加え、データ内容を Text/Hex 形式で表示することも可能です。

レジストリ エクスプローラー

AXIOM に読み込んだエビデンスに含まれるレジストリを解析し、ツリー構造で表示した画面です。

レジストリ エクスプローラーを表示するにはAXIOM Examine の画面左上部にある プルダウンから、「レジストリ」を選択します。

レジストリキーからバリューを選択すると、記録された内容を Hex で表示可能です。

TOP