QualityNet サイバーフォレンジック事業部

03-6260-9237

営業時間(9:00~17:30)定休日(土曜・日曜・祝祭日)

カタログ
ダウンロード お問い合わせ

製品に関するご質問と回答

ホーム > 製品に関するご質問と回答 > OpenText 社製品

インデックス検索の入出力の日本語が文字化けしてしまう

質問内容

インデックス検索の際、”Indexed Items” のクエリ入力欄に日本語を入力すると文字化けします。

検索自体は可能ですが、検索結果が表示されるビューペインの “Transcript” ビューに表示される日本語が文字化けし、判読できません。

原因

[Tools] > [Options] をクリックして表示される “Options” ダイアログの “Fonts” タブ内における、”Transcript” もしくは “Script Editor” の項目のフォントが日本語対応になっていないためです。

 

解決方法

上記の “Transcript” 及び “Script Editor” の項目のフォントを、(”MS 明朝” などの)日本語対応のフォントに変更します。

証拠データのコンテンツが表示されない

質問内容

EnCase のケースを開こうとすると、以下のエラーダイアログが表示されます。

 

 

ケースを開いた後、Evidence タブの “View: Evidence” ビューで、追加した証拠データのアイコンが以下のように表示されます。

 

 

証拠データのリンクをクリックしたり、”Open” をクリックすると、”View: Entry” ビューが表示されるものの、証拠データのコンテンツが表示されません。

原因

ケース作成時に紐づけた証拠データの格納場所(フルパス)が異なっているためです。

解決方法

  • “Evidence” タブの “View: Evidence” ビューにおいて、再度紐づけを行う証拠データにブルーチェックを付け、”Update Paths” をクリックします。

 

 

  • ブルーチェックを付けず  “Update Paths” をクリックすると、以下のエラーダイアログが表示されます。

 

 

  • “Update Paths” をクリックして表示される “Update Paths” ダイアログの “New Paths” のフォームに、再度紐づけする証拠データの格納場所を指定します。

 

 

  • 紐づけが正しく行われると、証拠データ内のコンテンツが表示されるようになります。

 

EnCase のバージョンにより、”View: Evidence” ビューで証拠データをクリック(もしくは “Open” をクリック)すると、以下のダイアログが表示されます。以下のダイアログからでも証拠データの再度紐づけを行うことが出来ます。

 

 

EnCase: ケースとエビデンスの移行と再現方法』も併せてご確認ください。

インデックス処理をしたはずなのに、インデックス検索ができない

質問内容

EnCase Evidence Processor で、”Index text and metadata” を選択しインデクシングを実施したにもかかわらず、下図のように [View] > [Indexed Items] のメニューがグレーアウトしてクリック出来ず、”Indexed Items” タブ表示出来ません。そのため、インデックス検索が出来ません。

 

原因

インデクシング処理を実施したにもかかわらず、”Indexed Items” タブを表示することが出来ない理由として、以下が挙げられます:

解決方法

インデクシング処理済みのデータを含む Evidence Cache が正しく紐づけされていない場合

 

(該当する “Evidence Cache” が利用可能な状態であることを前提として)ケースデータに再度証拠データを紐づけるには、以下の操作を実施します:

  • “Evidence” タブの “View: Evidence” ビューにおいて、”Change Caches” をクリックします。

 

 

  • “Primary evidence cache” で、正しい Evidence Cache のフルパスを指定します。
    • “Primary evidence cache” がグレーアウトしてパスの変更が出来ない場合、”Use base case folder for primary evidence cache” のチェックを外します。

 

 

  • [次へ] > [完了] の順にクリックします。

 

  • 紐づけが正しく行われると、処理済みの情報が正しく表示されます(インデックス検索も実施できるようになります)。

 

EnCase: ケースとエビデンスの移行と再現方法』も併せてご確認ください。

 

インデクシング処理済みのデータを含む Evidence Cache が破損している場合

 

インデクシング処理済みのデータを含む Evidence Cache が正しく紐づけされていない場合』の処理でも “Indexed Items” が利用できない場合、Evidence Cache が破損している恐れがあります。その場合、”EnCase Evidence Processor” で再度インデックス処理を実施していただく必要があります。

 

“EnCase Evidence Processor” ダイアログにおいて、以下の表示となっている場合、再度インデックス処理を行うことが出来ません。

 

 

その場合、”Overwrite evidence cache” にチェックを付けることで、再度 “Index text and metadata” にチェックを付け、インデックス処理を実施することが可能になります。

処理対象データにハッシュ値が計算されていないものがある

質問内容

EnCase でファイルを参照した際、一部のファイルでハッシュ値が表示されないことがあります。どのような要因が考えられますか?

原因

EnCase では、以下のファイル(あるいは属性を有するファイル、データ)については、ハッシュ値は算出されません:

  • 上書き削除されたファイル
    • “Description” カラムに “Deleted” 及び “Overwritten” が含まれている
    • “Is Overwritten” カラムに値が存在する
  • ファイルシステムに関連するファイル(あるいはデータ)
    • “Description” カラムに以下の属性情報が含まれている:
      • Internal
      • Bitmap
  • 未割当領域(”Unallocated Clusters” など)

解決方法

本件は EnCase の仕様であるため、解決・解消・回避方法はありません。

ボリューム暗号化解除用の回復キーを適用させる前に証拠データを開いてしまった

質問内容

ケースに証拠データを追加した際、以下のボリューム暗号化を解除する回復キー入力用のダイアログが表示されました。

追加当時は回復キーが分からず、”キャンセル” をクリックして暗号化された状態で “View: Entry” ビューを表示しました。その後、解除用の回復キーが判明したものの、以下のダイアログが表示されず暗号化を解除することが出来ません。

 

原因

ボリューム暗号化を解除せずに “View: Entry” を開いた際に生成された Evidence Cache がそのまま使用されているためです。

解決方法

Evidence タブの “View: Evidence” ビューを表示し、”Rescan” をクリックします。Evidence Cache の再スキャンが実施されます。その上でボリューム暗号化の証拠データを開こうとすると、再度ボリューム暗号化を解除する回復キー入力用のダイアログが表示されます。

 

ダイアログメニューの文字を大きくし過ぎて、"OK" や "次へ" 等がクリック出来ない

質問内容

ダイアログ内の文字が大きすぎて、ダイアログ下部にある “OK”、”次へ”、”Cancel” 等のボタンが押せません。

 

原因

[Tools] > [Options] をクリックして表示される “Options” ダイアログの “Fonts” タブ内における、”Dialog Boxes” の項目のフォントの大きさを大きくし過ぎて設定しているためです。

 

解決方法

以下の方法でフォントサイズを小さくします:

  • “Dialog Boxes” のボックスをダブルクリックし、小さいフォントサイズ(目安:10 point)を選択します。
  • “Set Defaults” をクリックし、全ての項目のフォントサイズをデフォルトに戻します(デフォルトのフォントサイズ:10 ~ 11 point)

 

但し、フォントサイズを修正してもダイアログ下部の “OK” をクリックしない限り、フォントサイズは修正されません。そのため、”OK” をクリックするために以下の操作を実施します:

  • “Dialog Boxes” のボックスでフォントサイズを修正した場合:
    • “Tab” を9回タイプすると、(画面に表示されませんが)カーソルは “OK” に移動されます。その状態で “Enter” をタイプします。
  • “Set Defaults” をクリックした場合:
    • “Tab” を1回だけタイプすると、(画面に表示されませんが)カーソルは “OK” に移動されます。その状態で “Enter” をタイプします。
    • “Set Defaults” を選択した場合、”Dialog Boxes” 以外のフォント設定もデフォルトに戻ることに注意が必要です。

 

“OK” がクリックされたことで “Options” ダイアログが閉じられます。ダイアログの文字の大きさが修正され、ダイアログ下部の “OK” 等が表示されるようになります。

Text・Hexビュー内の日本語が文字化けしてしまう

質問内容

ビューペインの “Text” 、”Hex” ビューに表示される日本語文字列が文字化けし、判読できません。

原因

[Tools] > [Options] をクリックして表示される “Options” ダイアログの “Fonts” タブ内における、”Text” もしくは “Hex” の項目のフォントが日本語対応になっていないためです。

 

 

加えて、ビューペインの “Text” もしくは “Hex” ビューの “Codepage” の文字コードが正しく表示するための文字コードに設定されていないためです。

解決方法

上記の “Options” ダイアログの “Fonts” タブ内の、”Text” もしくは “Hex” の項目のフォントを、(”MS 明朝” などの)日本語対応のフォントに変更します。

 

“Fonts” タブ内のフォントの変更は、日本語の文字を正しく描写するための設定であるため、ビューペインの “Text” もしくは “Hex” ビューにおいて表示対象のファイルに設定されている文字コードに則したコードに別途設定する必要があります。

  • ビューペインの “Text” もしくは “Hex” ビューのツールバーの “Codepage” をクリックします。表示対象のファイルに設定されている文字コードが以下の場合、プルダウンメニューに表示されている文字コードから選択します。
    • “UTF-16” の場合 : “Unicode”
    • “UTF-8” の場合 : “Unicode (UTF-8)”

 

 

  • それ以外の文字コードが使用されている場合、プルダウンメニュー最下部の “Code Pages” をクリックします。

 

  • “Code Pages” ダイアログから、表示対象のファイルに設定されている文字コードを選択し、”OK” をクリックします。

 

日本語のファイル名・フォルダー名が文字化けしてしまう

質問内容

ツリーペイン、もしくはテーブルペインの日本語のファイル名・フォルダー名が文字化けし、判読できません。

原因

[Tools] > [Options] をクリックして表示される “Options” ダイアログの “Fonts” タブ内における、”Tables” の項目のフォントが日本語対応になっていないためです。

 

解決方法

上記の “Tables” の項目のフォントを、(”MS 明朝” などの)日本語対応のフォントに変更します。

 

※ 現在、フォントを変更しなくても文字化けは解消されています。最新の EnCase にアップデートすることをお勧めします。

TOP