QualityNet サイバーフォレンジック事業部

03-6260-9237

営業時間(9:00~17:30)定休日(土曜・日曜・祝祭日)

カタログ
ダウンロード お問い合わせ

EnCase: Preview Packageの作成方法と表示方法 - ナレッジ&テクニック

ホーム > 記事 > ナレッジ&テクニック > EnCase: Preview Packageの作成方法と表示方法

EnCase: Preview Packageの作成方法と表示方法

本項では、OpenText 社製フォレンジックツール EnCase Forensic において、Preview Package の作成方法と表示方法について解説します。

本機能は、EnCase Forensic のいずれのバージョンでも同じですが、出力されるファイル形式は v8.x 以前と v20.x 以降で異なります。

Preview Package の作成

  • Evidence タブの “View: Entry” ビューにおいて、[Preview Package] > [Export] をクリックします。

 

 

    • v21.x 以前の EnCase Forensic では、エクスポート対象にブルーチェックを付けなくてもエクスポートダイアログが表示されます。
    • v22.x 以降の EnCase Forensic では、あらかじめエクスポート対象にブルーチェックを付けない場合、以下のエラーが表示されます。

 

 

  • “Export” ダイアログが表示されます。バージョンによって表示が異なります:
    • EnCase Forensic 8.x 以前

 

 

    • EnCase Forensic 20.x ~ 21.x

 

 

    • EnCase Forensic 22.x ~

 

 

  • 各チェック項目は、以下の通りです:
    • Only Check Rows:ブルーチェックが付いたアイテムのみを Preview Package にエクスポートします。ブルーチェックが一切ない場合、[Preview Package] > [Export] 実行時にテーブルペインに表示された全てのアイテムが Preview Package エクスポートの対象となります(後述の “Start/Stop” の項目参照)。
    • Show Folders:ディレクトリ構造のヒエラルキーを維持した状態で Preview Package を作成します。
    • Export Items:Preview Package エクスポート対象のアイテムの実データもエクスポートします。この項目にチェックが付いていない場合、ファイル名や日時情報などの属性情報のみが Preview Package の表示の対象となります。
    • Start / Stop:[Preview Package] > [Export] 実行時にテーブルペインに表示されたアイテムの最初の番号(”Start” は基本的に “1”)と最後の番号(= テーブルペインに表示されたアイテムの総数)が表示されます。
    • Active Rows:[Preview Package] > [Export] 実行時にテーブルペインに表示されたアイテムの総数、もしくはブルーチェックが付いたアイテムの総数が表示されます。
    • Fields:Preview Package に表示させるカラムを選択します。
    • Tags:Preview Package に反映させるカラムを選択します。

 

  • “Output File” で出力先のフルパスを指定し、”OK” をクリックして出力します。

Preview Package の表示(~ EnCase Forensic 8.x)

Preview Package 出力先に指定したフォルダー直下に、以下のファイル及びフォルダーが作成されています。

  • ファイル:<指定したファイル名>.hta
  • フォルダー:<指定したファイル名>.data
    • “Export Items” にチェックを付けた上で “OK” をクリックした場合、上記フォルダー直下に “Links” フォルダーが作成され、当該フォルダー直下に実ファイルが出力されています。

 

“<指定したファイル名>.hta” をダブルクリックすることで、Preview Package が表示されます。

 

 

EnCase Forensic 8.x でエクスポートされる “.hta” 形式の Preview Package は、以下の理由より使用を推奨しておりません:

  • “.hta” 形式は、Internet Explorer をベースに動作する技術です。Internet Explorer v10 以降、Microsoft は “.hta” を含むマークアップベースの動作のサポートを削除しました。
  • セキュリティゾーンの制限を受けずに ActiveX コントロールや Java アプレットを実行できるため、悪意のあるコードがユーザーの許可なしに実行されるリスクがあります。

Preview Package の表示(EnCase Forensic 20.x ~)

  • Preview Package 出力先に指定したフォルダー直下に、論理証拠ファイル “Lx01” が作成されています。

 

  • “EnCase Evidence Viewer” を、Preview Package を表示させるコンピューターにインストールします。インストーラーは以下の場所にあります。
    • インストーラー名:EnCaseEvidenceViewerSetup.exe
    • \Program Files\EnCase<ver>\lib\EnCaseEvidenceViewer
    • インストーラーは、自由にコピー可能です。

 

  • EnCase Evidence Viewer インストール後、起動し、”Open” をクリックして Preview Package で作成された “Lx01” ファイルを追加します。

 

Preview Package の結合

  • Preview Package の “Export” をクリックし、”EnPreview” ファイルを出力します。
    • “EnPreview” ファイルは、出力した Preview Package からの変更が全くない場合、以下のエラーが表示され、出力されません。

 

 

    • (例)タグを1つ新たに付与した(あるいは既存のタグから1つタグを外した)状態で “EnPreview” ファイルを出力した場合、以下のダイアログが表示され、”EnPreview” ファイルが出力されます。

 

 

  • Preview Package を出力した大元のケースを開き、[Preview Package] > [Export] をクリックします。出力した “EnPreview” ファイルを選択します。

 

  • Preview Package が結合され、Preview Package で操作したタグの状況が反映されます。

参考情報

TOP