保全対象のトリアージ

MacQuisition では、ライブ保全に先立ち、インシデントに関連するデータがデバイス内に存在するかどうかの選別が可能です。デバイスに含まれるデータの種類や数量から保全すべきデバイスかどうかを事前に把握できることで不要なデータ収集を抑制し、調査員は必要なデバイスにだけ注力することができます。

保全対象はさらに検索による絞り込みも行うことができます。また、画像、動画、Office 関連ファイル、PDF に対しては、MacQuisition 内でMac のQuickLook を利用したプレビューが利用可能なため、保全現場でのファイル内容をチェックして簡易調査を行えます。

Forensically sound な保全の実現

MacQuisition では、オリジナルのファイルの持つメタデータを保持した状態で保全を行います。フォレンジックでは、ファイルそのもの以上にファイルが保持する付随的な属性情報が重要な意味を持つことも少なくありません。APFS や HFS+ でないと失われてしまうような情報も MacQuisition なら保全可能です。

収集したデータは完全性を検証するため、ユーザーの選択に応じて MD5、SHA-1、SHA-256のハッシュ値のいずれか、もしくは全てをファイルごとに計算します。

多様な保全対象

MacQuisition は、ライブ保全時に Mac のメモリ (RAM) の保全が行える数少ないソリューションの1つです。

MacQuisition を収めた USB から起動してイメージを作成する場合、T2チップ搭載機でも物理イメージの作成が可能です。FileVault2 による暗号化設定がある場合、パスワードやキーチェーンファイルもしくはリカバリーキーを提供することで、書込防止の状態のまま復号、マウントして保全が可能です。

保全結果は E01 形式の他、Mac で標準的に使用される .dmg 形式でも出力することができます。