QualityNet サイバーフォレンジック事業部

03-6260-9237

営業時間(9:00~17:30)定休日(土曜・日曜・祝祭日)

カタログ
ダウンロード お問い合わせ

確認されている不具合と解決・回避方法

ホーム > 確認されている不具合と解決・回避方法 > OpenText 社製品

Artifact Explorer 表示用の処理 "Prepare Evidence" で、"File in use" エラーが表示されることがある

概要

OpenText Forensic(旧称 : EnCase Forensic)において、”Artifact Explorer” で開くための処理 “Prepare Evidence” 実施中に、以下のような “File in use” エラーメッセージが表示され、”Prepare Evidence” 処理が終了しない事象が報告されています:

 

 

その原因及び対処方法について、ご案内致します(本件事象は、他バージョンでも発生することが確認されています)。

 

※ 記事内の記述及び URL は、予告なく変更、もしくは削除されることがあります。

エラーが発生するバージョン

“Artifact Explorer” が独立したコンポーネントとしてインストールされるバージョン全て

 

  • EnCase Forensic
    • 24.2
    • 24.3
    • 24.4
  • OpenText Forensic
    • 25.1
    • 25.2
    • 25.3
    • 25.4

エラーの原因

“Artifact Explorer” にケースを読み込む際、ケースフォルダー直下の “Artifacts” フォルダー以下にある SQLite データベースが使用されます:

 

 

この SQLite データベースに対し、”Prepare Evidence” 処理以外のアクセスがあることで、本事象が発生します。具体的には、以下の状況の場合、本事象が発生します(あるいはその可能性があります):

  • 該当ケースを、単一ユーザーではなく複数ユーザーでも使用可能になるように共有設定されている場合
    • ケースを使用する Windows ユーザーアカウントが “ドメインユーザーアカウント” で、ケースデータも共有サーバー等にある場合、本事象が発生する可能性が高くなります。
  • “Prepare Evidence” 処理時、上記 SQLite データベースが、OpenText Forensic(旧称 : EnCase Forensic)以外のツールでアクセス・使用されている場合
    • これは、Artifact Explorer も例外ではありません(OpenText Forensic(旧称 : EnCase Forensic)と Artifact Explorer で、同一ケースを同時に開くことは出来ません)。

エラーの回避方法、及び発生した場合の対処法

本事象発生の原因が エラーの原因 に記載されている事項に該当する場合の対処法は、以下の通りです:

  • (可能な限り)ケースデータはローカルに保存した上で使用する。
  • ケースの共有設定は極力避ける。共有の必要性がある場合、組織内の使用ポリシーを設定する。
  • (誤操作を防ぐため)OpenText Forensic(旧称 : EnCase Forensic)でケースを開く際、他の SQLite データベースを開くツールの使用を避ける。

 

一方、ローカルユーザーアカウントで、共有設定が一切無いケースを OpenText Forensic(旧称 : EnCase Forensic)で開き、”Prepare Evidence” 処理が開始された場合も、本事象が発生する場合があります。但し、発生する場合としない場合があり、本記事発表の時点(2025年11月)で回避・解消方法は発見に至っていません。

 

独立したコンポーネントとしての “Artifact Explorer” を使用しない場合、[Tools] > [Options] 内の以下の設定で、”Prepare Evidence” 処理を無効化することが出来ます。

  • “Prepare evidence for use with Artifact Explorer” のチェックを外す

 

モバイルデバイスからのデータ取得時、不正プログラムが検知される場合がある

概要

OpenText Forensic(旧称 : EnCase Forensic)において、 [Add Evidence] > [Mobile Device] より iOS 及び iPadOS デバイスのデータ取得を開始すると、以下のマルウェア検知のメッセージが表示され、以降のデータ取得を含む処理が継続されない事象が報告されています。

  • Exploit:iPhoneOS/Vortex

 

 

その原因及び対処方法について、ご案内致します(本件事象は、他バージョンでも発生することが確認されています)。

 

※ 記事内の記述及び URL は、予告なく変更、もしくは削除されることがあります。

エラーが発生するバージョン

[Add Evidence] > [Mobile Device] 機能が搭載されている OpenText Forensic(旧称 : EnCase Forensic)全てのバージョン

エラーの原因

データ取得対象の iOS(もしくは iPadOS)が、”Jailbreak”(脱獄)されている場合、本件事象が発生することが報告されています。

他にも、データ取得の iOS(もしくは iPadOS)が以下の状況・状態である場合、本件事象が発生する場合があります:

  • 改造アプリ、もしくは Apple 非公認の不正アプリをインストールしている場合
  • 署名回避ツールをインストールしている場合

エラーの回避方法、及び発生した場合の対処法

本記事発表の時点(2025年11月)で、本件事象の回避・解消などの対処法の発見には至っていません。

Artifact Explorer で、個別のアーティファクトが表示されない

概要

OpenText Forensic(旧称 : EnCase Forensic)において、処理の実施 / 未実施に関わらず、作成したケースを “Artifact Explorer” で開き、個別のアーティファクトを表示しようとすると、以下のようなエラーメッセージのダイアログが表示される事象が報告されています。

以下が、そのダイアログのスクリーンショット(例)です:

 

 

その原因及び対処方法について、ご案内致します(本件事象は、他バージョンでも発生することが確認されています)。

 

※ 記事内の記述及び URL は、予告なく変更、もしくは削除されることがあります。

エラーが発生するバージョン

“Artifact Explorer” が独立したコンポーネントとしてインストールされるバージョン全て

 

  • EnCase Forensic
    • 24.2
    • 24.3
    • 24.4
  • OpenText Forensic
    • 25.1
    • 25.2
    • 25.3
    • 25.4

エラーの原因

“Unicode 対応でないプログラムの言語”(システムロケール)が “日本語(日本)” でない場合、本件事象が確認されています。

一方で、本記事発表の時点(2025年11月)で、システムロケールが “日本語(日本)” であることが主要因であるかどうかについては不明です。

エラーの回避方法、及び発生した場合の対処法

※ 本対処法は、暫定手法です。

 

1. [コントロールパネル] > [地域] をクリックします。”地域” ダイアログが表示されます。

 

 
2. “地域” ダイアログの “管理タブ” を表示し、”システム ロケールの変更” をクリックします。

 

 
3. “現在のシステムロケール” を、”日本語(日本)” から “英語(米国)” に変更し、”OK”をクリックします。

システムロケールの変更は、Windows の再起動が必要となります。再起動後、Artifact Explorer でケースを開き、アーティファクトを表示します。

 

 

EnCase Forensic, EnCase Endpoint Investigator インストール時の注意

概要

EnCase Forensic 及び EnCase Endpoint Investigator において、インストールもしくはアップグレード後、当該アプリケーションを開こうとすると、以下のエラーメッセージのダイアログが表示され、当該アプリケーションが起動しない事象が報告されています:

  • FIPS POST failed with code: 20000

 

以下が、そのダイアログのスクリーンショットです:

 

 

その原因及び対処方法について、ご案内致します(本件事象は、他バージョンでも発生することが確認されています)。

 

※ 記事内のURLは、予告なく変更、もしくは削除されることがあります。

エラーの原因

納品したDVD、もしくはダウンロードしたISOファイル内の、EnCase Forensic もしくは EnCase Endpoint Investigator のインストーラー(拡張子:exe)のみをインストール対象のコンピューターにコピーした上でインストールを実施すると、上記のエラーが発生します。

エラーの回避方法

本件エラーを回避するには、EnCase Forensic もしくは EnCase Endpoint Investigator インストール(もしくはアップグレード)時、ISOファイル(もしくはDVD)からインストーラーの exe ファイルをコピーせず、ISOファイル上、もしくはDVDから直接インストール(もしくはアップグレード)を行います。

エラーが発生した場合の対処法

本件エラーが発生した場合、一旦アンインストールし、上記の方法で再インストールを試みてください。それでも解決しない(エラーが表示し続ける)場合は、以下の方法でアンインストール及び関連データを削除後、上記の方法で再インストールしてください:

 

1. EnCase Forensic もしくは EnCase Endpoint Investigator を、『プログラムと機能』から、もしくはOpenText社指定の方法でアンインストールします。
2. CodeMeter Runtime Kit を、『プログラムと機能』からアンインストールします。
CodeMeter Runtime Kit  が、EnCase Forensic もしくは EnCase Endpoint Investigator 以外のアプリケーションでも使用している場合は、2. の操作を行うことが出来ません(あるいは該当アプリケーションの起動・使用に、支障を来す可能性があります)。同時に、3. の “CodeMeter” 関連のフォルダーの削除も行うことが出来ません。その場合は当社までお問い合わせください
3. EnCase Forensic もしくは EnCase Endpoint Investigator をアンインストール後、以下のフォルダーを、格納されているファイルごと削除します:

  • C:¥Program Files¥EnCase**(”**” には、バージョンが入ります)
  • C:¥Program Files¥CodeMeter
  • C:¥ProgramData¥EnCase
  • C:¥ProgramData¥CodeMeter
EnCase Forensic 、 EnCase Endpoint Investigator 、CodeMeter インストール後に当該フォルダーに任意でコピーしたファイル(”Cert” ファイル等)は、アンインストール後も削除されずに残っています。ライセンス更新に必要な “Cert” ファイル、環境設定ファイル (拡張子:ini)等は、再インストール後も使用する場合、上記フォルダー削除前に事前に別の場所に移動させることをお勧めします。
4. EnCase Forensic もしくは EnCase Endpoint Investigator の再インストールを行います。
上記アプリケーションのインストールと同時に、CodeMeter Runtime Kit の再インストールも行われます。

EnCase Forensic 起動時における異常終了について

概要

当社発表のお知らせ(【重要】EnCase の最新バージョン 21.3 について)の、EnCase Forensic 21.3 起動時に異常終了する不具合につきまして、その原因及び対処方法について、ご案内致します(本件事象は、他バージョンでも発生することが確認されています)。

 

※ 記事内のURLは、予告なく変更、もしくは削除されることがあります。

エラーの内容

EnCase Forensic 21.3で、アプリケーションを起動すると異常終了するエラーが確認されています。その際、アプリケーションイベントログに下図のように “vcrruntime140.dll” がエラーとして記録されます。

 

発生しているバージョン

  • EnCase Forensic
    • v7以前
      • 6.19.7 | 7.12.01
    • v8
      • 8.04 | 8.04.1 | 8.05 | 8.06 | 8.06.1 | 8.07 | 8.08 | 8.09 | 8.10 | 8.11
    • v20以降
      • 20.2 | 20.3 | 20.4 | 21.1 | 21.2 | 21.3 | 21.3.1
  • EnCase Endpoint Investigator
    • v8
      • 8.04 | 8.04.1 | 8.05 | 8.06 | 8.06.1 | 8.07 | 8.08 | 8.09 | 8.10 | 8.11
    • v20以降
      • 20.2 | 20.3 | 20.4 | 21.1 | 21.2 | 21.3 | 21.3.1

原因

EnCase Forensicを起動するためのライセンス管理を行っている “CodeMeterコンテナ” による不具合です。

エラー発生時の確認方法

1. タスクトレイの “CodeMeter Control Center” アイコンをクリックし、CodeMeter Control Center を起動します(CodeMeter Control Centerで認識されているライセンスが1つの場合、緑色の〇、2つ以上の場合、2つの青色の〇でアイコンが表示されます)。

 

 
2. CodeMeter Control Centerダイアログの右下にある“Web Admin”をクリックします。

 

 
3. Webブラウザーが起動し、Webブラウザー上でCodeMeterライセンスの情報が表示されます。[コンテナ] > [全てのコンテナ]をクリックします。

 

 
4. “EnCase License” のリンクをクリックします。

 

 
5. “有効期間”をご確認ください。

 

 
6. 上記 “有効期間” 及び “使用期間” が、既に期限を過ぎている、もしくは正しい日時情報として表記されていない場合は、以下の対処方法を実施するか、当社までお問い合わせください。

対処方法

1. 任意のバージョンの“ECC Desktop”(32bit版)をダウンロードし、インストールします(“ECC Desktop”を入手方法について、ご不明な場合はお問合せ下さい)。
2. ECC Desktopがインストールされた場所(デフォルト … “C:\Program Files (x86)”以下)にアクセスします(フォルダー内に“EnCase.exe”があることを確認してください)。

 

 
3. Windows Explorerのアドレスバーに“cmd”と入力してEnterをタイプします。MS-DOSプロンプトが開きます。

 

 

 
4. 以下のようにコマンドを入力し、Enterをタイプして実行します。

  • EnCase.exe -db

これによりEnCaseがデバッグモードで起動します。

 

 
5. 4. ではインストール直後の“ECC Desktop”をデバッグモードで起動しただけですので、ライセンス情報は読み取れていません(左上のバーには、“Acquisition”もしくは“No V7 Cert”と表示されるはずです)。

 

 
6. ライセンスのアクティベートを行います(下図は、電子ライセンスのアクティベート方法です)。

 

 

 
7. ECC Desktopを閉じ、4. のコマンドを入力してECC Desktopを再起動します。ライセンスが正常にアクティベーションされているかを確認してください。確認後、ECC Desktopを閉じます。

 

 
8. EnCase Forensic(もしくはEnCase Investigator)を起動します。正常に起動、且つライセンスが正しく認識されているかを確認してください。
9. ECC Desktopをアンインストールします(インストールしたままでも、EnCase Forensic(もしくはEnCase Investigator)の使用には支障を来しません)。

参考情報

OpenText Knowledge Base Article (Article ID : KB18928202)

  • OpenText My Supportへのログインが必要です。

 

製品についての情報は、以下のWebサイトをご確認ください。

TOP