QualityNet サイバーフォレンジック事業部

03-6260-9237

営業時間(9:00~17:30)定休日(土曜・日曜・祝祭日)

カタログ
ダウンロード お問い合わせ

FTK: ケースの作成 - ナレッジ&テクニック

ホーム > 記事 > ナレッジ&テクニック > FTK: ケースの作成

FTK: ケースの作成

本項では、Exterro 社(旧AccessData 社)製フォレンジックツール FTK (Forensic Toolkit) を用いたケースの作成について解説します。

以下、FTK v7.2 を使用していますが、基本的な操作方法は他のバージョンでも同様です。
FTK の起動、データベースへのログインまでの詳細は、以下をご参照ください。

https://cyber.quality-net.co.jp/knowledge_detail/1104/

ケースの作成

多くのフォレンジックツールでは処理結果を「ケース」という単位で特定のフォルダーにまとめて管理します。
FTK でケースを作成するには、FTK  起動後、メニューの「ケース」から「New」を選択します。

 

画面が切り替わり、新規ケースオプションの画面が表示されます。
ケース内容に応じて各項目の情報を入力します。

  • 「所有者」: データベースへのログインに使用したユーザー名が表示されます。
  • 「ケースの名前」: ケース識別用の名称を入力します。
  • (任意項目) 「リファレンス」: ケースに関連する参考情報等を入力します。
  • (任意項目)「概要」 : ケースの説明を入力します。
  • (任意項目)「ケース説明ファイル」: ケースに書類等のファイルを添付します。
  • 「ケースフォルダディレクトリ」: ケースを保存する場所を指定します。
  • 「Processing profile」: 証拠処理に使用するプロファイルを選択します。プロファイルは FTK が行う処理内容を予め設定したテンプレートの役割を果たします。複数のプロファイルから事案に応じたプロファイルを選択します。「Customize..」を押下すると、処理内容を自分で設定できます。
  • 「ケースを開く」: ケース作成生後、自動的にケースを開くかを選択します。

入力完了後、「OK」を押下するとケースの作成が行われます。

証拠の追加

ケース作成後、以下の「証拠の管理」画面が表示されます。ここで、FTK の処理対象となる証拠ファイルを追加します。

画面左下の「追加」ボタンを押下し、表示されるリストから追加する証拠の種類を選択します。

※以下では、デュプリケーターで取得した Windows の物理イメージファイル (拡張子 .E01) を追加する場合を例に説明します。

「取得したイメージ」を選択後、「OK」を押下し、解析対象の E01ファイルを選択します。イメージファイルが複数のファイルにセグメント分けされている場合でも、先頭の E01 イメージのみ表示されます。先頭の E01 を指定すれば自動的に連続する複数ファイルを読み込みます。

解析対象のイメージファイルを選択後、「開く」を押下して、証拠を追加します。
一覧に先程選択したイメージファイルが追加され、選択するとパス等の情報が表示されます。

追加した解析対象のタイムゾーンを、「時間帯・タイムゾーン」のプルダウンから選択します。

※このタイムゾーン選択は、証拠処理時の参考情報です。選択内容に関わらず、FTK の処理結果画面にはシステムに設定されたタイムゾーンが適用されます。

※このタイムゾーン選択は、FTKで出力されたレポートに反映されます。

VSS / リストアポイントの選択

調査対象が Windows であり VSS (Volume Shadow copy Service) の情報も解析する場合は、対象イメージを選択し、画面中央下部の「Choose Restore Points..」から、解析対象のリストアポイントを指定します。

VSS を持つイメージファイルの例
(VSS が存在しない場合は Current のみが表示されます)

リストアポイントを一括で選択する場合は「全て選択」を押下します。
「Restore point expansion (Deltas / Full)」では以下の3つからファイルシステムのリストア方式を選択可能です。

  • 「Full (All added as full file systems) 」: 選択された全てのリストアポイントのデータを完全なファイルシステムの形式にしてケースに追加します。いずれのリストアポイントでも単独で調査が可能になりますが、各ファイルシステム内に同一ファイルがある場合、重複して表示されます。
  • 「Oldest to latest w/ deltas (Oldest full, others as deltas)」: 最も古いリストアポイントのみ完全なファイルシステムの形式でケースに追加し、その他のリストアポイントは差分のみが追加されます。更新されたファイルを素早く見つけられる等の利点があります。
  • 「Latest to oldest w/ deltas (Latest full, others as deltas)」: 最も新しいリストアポイントのみ完全なファイルシステムの形式でケースに追加し、その他のリストアポイントは差分のみが追加されます。

証拠処理の実行

設定の完了後、「OK」を押下して処理を開始します。
処理内容を変更したい場合、「Refinement Options..」からプロファイルの内容を再設定可能です。

処理が完了した項目から、FTK に表示されます。

ケース作成時の注意点

本ページでは、FTKのインターフェースの言語として『日本語』が使用されていますが、英語以外のインターフェースの場合、以下の事象が発生することがあります:

  • ケースが作成できない。
    • [ケース] > [New]をクリックしても、新規ケースオプションの画面が表示されない。
    • 証拠を追加し、処理を開始しようとしても、処理が開始されない(あるいは開始直後にエラーが表示される)。
  • 証拠が追加できない。
    • FTKに証拠が追加できない(あるいは追加時にエラーが表示される)。

 

これらの事象が発生した場合、”Language Selector” で、インターフェースを英語に切り替えた上で、ケースの作成及び証拠の追加を実施します。

  • “Language Selector” は、FTKのインストーラーの “Other Products” よりインストールできます。
  • “Language Selector” でインターフェースの言語を切り替える際に起動されているFTK等のツールは、一旦閉じる必要があります(Windowsの再起動の必要はありません)。


“Language Selector” のアイコン

 

Language Selector

TOP