AXIOM のケースを開くと、”詳細” ペインに以下のエラー情報が表示され、コンテンツが表示されません。

ケース作成時に紐づけた証拠データの格納場所（フルパス）が異なっているためです。

ケースデータに再度証拠データを紐づけるには、以下の操作を実施します：

• 上図の “ソースを検索する” をクリックします。”開く” ダイアログが表示され、再度紐づけを行う証拠データを選択します。

• 紐づけが正しく行われると、証拠データ内のコンテンツが表示されるようになります。

『AXIOM: ケースとエビデンスの移行と再現方法』も併せてご確認ください。

アーティファクトエクスプローラーの “エビデンス” 及び “詳細” ペインの “リカバリー方法” の項目で、”カーブされた” と表示されているため、現存するファイルではない（ファイルシステム管理外のファイル）と判断しましたが、ファイルシステムエクスプローラーでは現存するファイルとして表示されています。

現存するファイル（ファイルシステムで管理されているファイル）であるにもかかわらず、”カーブされた” と表示されるのは何故ですか？

AXIOM は仕様上、拡張子とファイルシグネチャーが合致しないファイルを、全て “カーブされた” とみなします。

AXIOM Process での処理時に、現存するファイルであっても拡張子とファイルシグネチャーが合致しないファイルを検知した場合、AXIOM は該当ファイルに対し（AXIOM Process の “アーティファクト選択” の対象に則って）カービング処理を実施します。カービングの結果、検出されたファイルシグネチャーに則り、該当ファイルを（ドキュメントや画像などの）指定のファイルタイプに分類しますが、カービング処理を経ているため “リカバリー方法” には “カーブされた” と表示されます。

本件は AXIOM の仕様であるため、解消方法・回避方法は存在しません。

一方で、”リカバリー方法” が “カーブされた” と表示されたファイルについて、それが現存するファイルであることを確認する最も確実な方法として、

• “詳細” ペインの [エビデンス情報] > [ソース] をクリックし、ファイルシステムエクスプローラで該当ファイルの状態を確認する

があります。

他にも以下の情報から、該当ファイルがファイルシステムで管理されているファイルであることを確認することが出来ます：

• 以下の日時情報を有するか
  • ファイルシステムが作成された日付/時間
  • ファイルシステムが最後に変更された日付/時間
  • ファイルシステムに最後にアクセスがあった日付/時間
• [エビデンス情報] > [場所] の、”File Offset” に続く数値が “0”（カービング元のファイルの先頭）であるか
  • “File Offset” に続く数値が “0” 以外であっても、[エビデンス情報] > [ソース] が “$MFT” であれば、そのファイルは “常駐ファイル” であり、ファイルシステムで管理されているファイルであるとみなされます。

AXIOM Process での処理後、本来処理の対象とすべきアーティファクトを選択するのを忘れていました。処理済みの AXIOM Examine のケースから、解析対象の証拠データに対し追加でアーティファクトを選択して処理をしようにも、実施することが出来ません。

AXIOM の仕様上、処理後の AXIOM Examine から追加的にアーティファクトの処理を行うことは出来ません。AXIOM Examine から追加的に処理可能な項目は、以下の通りです：

• “ツール” メニュー
  • タイムラインを構築する
  • 接続を構築する
  • メールエクスプローラーを構築する
  • メディアエクスプローラーの構築
  • ワールドマップを構築する

• “プロセス” メニュー
  • カービングでアーティファクトを再処理します
  • キーワードをケースへ追加する
  • ファイルからテキストを抽出 (OCR)
  • ハッシュ値別に写真とビデオを分類する
  • 新規メディアのカテゴリーを使用してハッシュセットをアップデートします
  • CPS エクスポートファイルを追加する
  • Magnet.AI を使用してチャットを分類する
  • Magnet.AI を使用して画像を分類する

本件は AXIOM の仕様であるため、AXIOM Process で最初から処理をし直す以外の解決方法はありません。

AXIOM Process で対象デバイス内のチャットを分類するため、Magnet.AI によるチャット分類 (カテゴリー分け) を有効にしましたが、ほとんどの会話で分類が行われていません。

チェックを付ける以外に、必要な条件、設定などがあるのでしょうか?

現在、Magnet.AI によるチャットの分類の対象は英語のみとなっています。日本語のチャットのは対象外です。

現在のところ、日本語のチャットを分類する方法はございません。

AXIOM Process で対象デバイス内の画像の分類を行いましたが、結果をどう確認すればいいかわかりません。

結果がAXIOM Examine のアーティファクト一覧に出るわけではないのでしょうか?

Magnet.AI によって分類された画像には該当するカテゴリーに基づくタグが付与されます。カスタムアーティファクトとは異なり、専用のアーティファクトカテゴリーが作成されるわけではありません。

例えば、スクリーンキャプチャ (Screen captures) として分類された画像は「possible screen captures」というタグがついた状態になります。

分類された画像を一覧表示する場合は、AXIOM Examine 画面上部のフィルターバーの 「Tags and comments」から対象のカテゴリー名で絞り込みを行います。

下図は、スクリーンキャプチャとして分類されタグ付けされた画像を表示する例です。

“OKAY” を押下すると、フィルタが適用され、Magnet.AI がスクリーンキャプチャとして分類した画像が一覧で表示されます。

AXIOM Process で対象デバイスの証拠処理を行う際に表示される、”Full” と “Sector level” の違いがわかりません。証拠デバイスの全領域を対象に、可能な限り多くのデータを解析したい場合、どちらを選べば良いでしょうか？

選択項目に詳細が表示さないため、違いが分かりにくくなっています。

Sector level では、ファイルシステムの解析を行わず、データをセクター内のビットごとに処理します。

AXIOM Process が対応するファイルシステムのドライブを解析対象とする場合、「Full」を選択した方がより多くのデータが解析可能です。通常は「Full」をご選択ください。

• 「Full」では、ドライブもしくはイメージの全領域を対象にアーティファクトを検索します。この際、ファイルシステムの解析も併せて行うため、対象ファイルが断片化している場合でもファイルを正しく認識して処理することが可能です。
• 「Sector level」では、ドライブもしくはイメージの先頭から順にデータを読み込み、カービング可能なアーティファクトを検索します。Full と同様、全領域を対象としますが使用されるファイルシステムを認識せずに動作します。そのため、対象ファイルが断片化している場合は処理が不正確・不完全になる可能性があります。
  (例えば、画像ファイルに含まれない領域が画像ファイルの一部として解析処理され、画像が部分的にしか表示できなかったり、圧縮ファイルの一部だけが抽出されたりすることがあります)

※ 未対応のファイルシステムを持つドライブの解析や、一部に暗号化等が施され復号が行えない領域がある場合、一部が欠損したドライブから可能な限りデータを再構築したい場合は、「Sector level」での解析が有効です。

AXIOM Examine の右上に表示される検索窓でキーワード検索を行っても、該当するキーワードを含む情報がヒットしません。ただし、ファイルエクスプローラーでは、指定したキーワードを含むファイルが存在することを確認済みです。この状況の原因として、どのようなことが考えられますか？

AXIOM Examine のフィルターバーの検索は、通常、アーティファクトとしてカテゴリー分けされた情報のみを対象とします。
その他のディスク領域は設定を変更しない限り、検索対象になりません。

AXIOM Process で処理を行う際、全コンテンツを対象にキーワードを設定することで、検索が可能になります。

この設定を行うには、ケース作成時に画面左のメニューから「Add keywords to search」を選択します。

キーワードの検索対象をデフォルトの「Artifacts」から「All content」に変更します。

以降は通常の検索設定と同様です。状況に応じてキーワードファイルのインポートもしくは、個別のキーワードを追加します。
※ ディスク全体を対象としたキーワード検索でも、正規表現が使用可能です。

※個別ファイルに関してはファイルエクスプローラーから該当するアイテムを選択後、Text/Hex ビューで検索を行うことも可能です。

AXIOM Examine でファイルを参照した際、一部のファイルでハッシュ値が表示されないことがあります。例えば、左側の “swapfile.sys” では MD5 ハッシュが表示されている一方で、同じケース内にある右側の “pagefile.sys” には MD5 ハッシュが表示されていません。この違いが生じる原因として、どのような要因が考えられますか？

AXIOM では500MB を超えるサイズのファイルは通常、ハッシュ計算されません。
また、フォルダーなど、性質上ハッシュ値計算の対象にならないアイテムもあります。

ハッシュ計算を行うファイルサイズを変更するには、AXIOM Processの [Tools] > [Settings] から以下の設定を変更します。

上記項目のチェック自体を外すことで、全ファイルを対象にすることも可能です。
※ その場合もフォルダーは計算対象になりません。