オリジナルの証拠ドライブに対する書込防止を維持したまま起動・編集・調査
Voom 社製 Shadow3 は調査員に物理的な仮想マシン機能を提供します。調査対象デバイスのマザーボードと、ドライブの間に Shadow3 を接続すれば、ユーザー操作に伴うドライブの変更が全て Shadow3 に書き込まれるようになります。調査員は、オリジナルの証拠ドライブの完全性を維持したまま OS 起動やブラウザーなどの各種ソフトウェア履歴の確認、マルウェアの動作確認等を実機で行うことが出来ます。
ホーム > 製品・サービスを探す > 「その他のハードウェア」の製品一覧 > Shadow3
Shadow3 を使えば本来、ドライブに加えられるはずだった あらゆる変更が Shadow3 に書き込まれるようになります。Shadow3 の書込防止機能によりオリジナルのドライブへの書込は一切発生しません。一方、調査員はShadow3 の記録した変更内容が反映された状態でドライブを閲覧、変更、操作することが可能になります。
Fonticons Inc. Some rights reserved.
調査員が証拠ドライブ内の OS を起動し、データ変更を行った場合、その情報は Shadow3 に書き込まれ OS の再起動後も維持されます。Shadow3 を使えば各種検証作業において、ソフトのインストールや Windows アップデートを適用した場合の動作確認、パラメータ変更時の不具合の有無などを原本を損なうことなく気軽に試すことが出来ます。
マルウェア解析やフォレンジック調査において、Shadow3 は真価を発揮します。
例えば、仮想環境に置かれていることを検出した場合、動作を変えるマルウェアも Shadow3 なら解析できます。Shadow3 を使用する際、仮想環境用のソフトウェアのインストールは必要なく、動作も高速なため、マルウェアは自身が通常のパソコン上で動作している場合と区別が付きません。
一方、調査員はオリジナルのドライブに書込防止がされた安全な環境でマルウェアの動作を確認することができ、作業が済んだら、Shadow3 に書き込まれたデータを数秒で破棄 (Zero Shadow) することができます。Zero Shadow により、作業前の環境に素早く戻ることができるため、繰り返し解析や検証作業を行う場合も面倒なディスクの完全コピーやイメージングの必要はありません。
製品・サービス等に関するお問い合わせはこちら
クオリティネット株式会社 サイバーフォレンジック事業部
03-6260-9237