ツールキットを構成する多様なソフトウェア

FTK (Forensic Toolkit) は Toolkit の名称にふさわしく、フォレンジックのフローに応じ、以下に挙げる複数のソフトウェアを組み合わせて使用します。

• FTK Imager
  (保全、ハッシュ値検証、データ簡易閲覧、イメージファイルのマウント)
• FTK 本体
  (調査解析、インデックス検索、フィルタリング、ファイル出力、レポート作成)
• Registry Viewer
  (レジストリ解析、レジストリキーの検索、よく使用されるキーへの簡易アクセス)
• PRTK (Password Recovery Toolkit)
  (パスワード解析、認証機構のバイパス、辞書攻撃用プロファイルの作成)

データベースを利用した情報の一元管理

FTK ではケースごとに単一のデータベースを作成し、すべての情報を一元管理します。複数人で調査に当たる場合も、各人が同じデータを共有できるため、複数のデータセットを作成するコストと複雑さが軽減されます。

巨大なファイルの表示によるメモリ不足やハードウェアに対する過負荷等でGUIがクラッシュしても、データベースの内容や処理していた内容が失われることはありません。FTKのコンポーネントは互いに独立しており調査員は同じ場所から作業を継続することができます。

他に類を見ない圧倒的な処理能力

FTKでは、合計4つのエンジンによる分散処理が行われます。調査員は処理オプションを自由に設定でき一度使用したオプションからプロファイルを作成し、他のケースで再利用できます。

FTK の処理エンジンの中で、特にデータカービングエンジンの評価は高く、業界屈指の復元率を誇ります。調査員はデータカービングエンジンに対し、対象ファイルのサイズやデータタイプ、想定されるピクセルサイズなどを指定することで、復元処理の網羅性を損なうことなく、無関係なデータが復元されるケースを減らすことができます。

最新の解析対象への対応

FTK は調査の必要性が高まる Apple の最新のファイルシステムである APFS の調査解析に対応可能です。データセットに暗号化、圧縮、削除された APFS を含む場合でも従前の対応デバイス、ファイルシステムと同様の処理が行えます。

さらに最新バージョンのMcAfee Drive Encryptionで暗号化されたドライブの復号にも対応しました。

また、FTK で解析したデータを他のツールで解析したり、ユーザーと共有したりするため、新しくL01 形式のエクスポートをサポートしワークフローを改善しました。

マルウェアの静的解析 (オプション)

FTKの Cerberus 機能を使用すればプログラムの悪性判断を素早く行うことができます。暗号化の有無やPEヘッダー等の情報をスキャンし、調査員に危険度をスコアリングして示します。危険度の高いプログラムに関してはさらに簡易的なコードの解析も行うという二段構成になっており、対象プログラムの機能性を実際にコードを実行することなく表示します。