FTK 8.0がリリースされました。
主な変更点は以下の通りです。
- Smart View機能の搭載(詳細は、以下の項目をご覧ください)
- モバイル・フォレンジック機能の強化(詳細は、以下の項目をご覧ください)
- ポータブルケース機能の強化(詳細は、以下の項目をご覧ください)
- その他(詳細は、以下の項目をご覧ください)
アップデート情報の詳細に関しては、Exterro社のWebサイトをご確認ください。
Smart View機能の搭載 |
| 1. |
Smart View機能が搭載され、Webブラウザーを使用してケースを表示およびレビューできるようになりました。FTK に表示される”Smart View”ボタン(以下の各メニューのいずれか)をクリックします:
|
|
● |
ケース画面のヘッダーから
|
|
● |
ケースを開く際に表示される”Select case window template”ポップアップから
|
|
● |
[Tools] > [Other Applications] > [Smart View]から
|
|
| 2. |
Smart Grid Viewは、ケース内のファイルをフィルタリングする簡単で効率的な方法です。Smart Grid Viewでは、全てのメタデータの値が自動的にグループ化され、対応するカラムに表示されるため、簡単に確認できます。ほとんどのファイルのメタデータは、複数のメタデータを持つため、複数のグリッドに分類されます。フィルタークエリを形成するために必要な全ての値をクリックして選択するだけで、対応するファイルセットを表示できます。
|
|
|
モバイル・フォレンジック機能の強化 |
| 1. |
iTunes(バージョン16.0(20A362)までのiOSモバイルデバイス)からの非暗号化/暗号化データのiOSバックアップの処理をサポートするようになりました。 |
|
| 2. |
Cellebriteを使用して収集された、暗号化されていないファイルシステムのイメージファイルの処理をサポートするようになりました。 |
|
| 3. |
Mobile Phone (iOS) Biome Application Information”の以下のアーティファクトを解析するようになりました: |
|
- Biome AppInFocus
- Biome AppInstall
- Biome Backlight Public
- Biome Battery Percentage
|
- Biome Device PluggedIn
- Biome Hardware Reliability
- Biome Notifications Public
- Biome Now Playing Public
|
- Biome Text Input Sessions
- Biome User Activity Metadata
- Biome WIFI
- Application Intent
|
|
|
| 4. |
“Location”関連データについては、以下のアーティファクトが導入されました: |
|
iOS
- Find My Information:
- Owner Information
- Device Information List
- Device Information
- Device Address
- Device Location
- Crowd Source Location
- iOS Media Information:
- Business Category Cache
- Location Information
- Location Cache
- Reverse Geo Location Information
- Reverse Geo Location
- Postal Address
- Final Place
- Sorted Place
- Backup Place
- Public Event Query Location
- Mobile Phone(iOS) Network Information
- iOS Mobile WiFi-Access Point
|
Android
- Android Media Information:
- Geo Tagged Media
- First Party-Geo Tagged Media
- Weather Clock Application:
- Weather Content
- Weather Daily Information
- Weather Hourly Information
- Weather Information
- Mobile Phone (Android) Google Map:
- Android Mobile GMAP Cached Search History
|
|
|
| 5. |
HEIC画像は、”Export”ダイアログから新しく導入された”Export HEIC as JPG”オプションを使ってJPGとしてエクスポートすることが出来るようになりました。
|
|
| 6. |
チャットのネイティブビューは、ユーザーが簡単にレビューできるように、ソースチャットアプリのネイティブに近い形式で提供するように強化されました。 |
|
以下の情報は、チャット変換専用のネイティブビューのヘッダーに表示されます:
- チャットアプリ名
- 選択されたチャットにあるメッセージの総数
- チャットの参加者
- 最初と最後のチャットの日時
- “Attachment(s)”をクリックすることによる、チャット内の全ての添付ファイルの表示
注:添付ファイルの表示中に、”Filter conversations around this attachment”ボタンをクリックすると、ネイティブビューで添付ファイルに関連するチャットに移動して表示することができます。 |
|
| 7. |
“New Case Options”の”Evidence Processing”セクションに、モバイルの証拠データを効率的に処理するための追加処理プロファイル”Mobile Processing”が追加されました。このプロファイルでは、基本的な解析、システム要約、インデックス作成オプションがデフォルトで選択されています。拡張オプションには以下が含まれています:
- Exterro Chat Parser
- Webブラウザ関連データ(Google Chrome、Firefox、Safariを含む)
- すべてのアーカイブタイプ(ZIP、RAR、TAR、GZIP)
- iOSとAndroidのバックアップ
|
|
| 8. |
処理ワークフローを簡素化するために、対応するファイルの処理中にUFDRとXRYのExpansionオプションを自動的に選択するように強化されました。 |
|
| 9. |
処理ワークフローを簡素化するために、対応するファイルの処理中にUFDRとXRYのExpansionオプションを自動的に選択するように強化されました。 |
|
| アプリ名 |
アーティファクト名 |
対応バージョン (Android) |
対応バージョン (iOS) |
| Microsoft Teams |
Microsoft Teams Attachment |
~ 1416/1.0.0.2023072702 |
~ 5.8.0 |
| Microsoft Teams Calls |
| Microsoft Teams Contact |
| Microsoft Teams Conversation |
| Microsoft Teams Group Conversation |
| Microsoft Teams Messages |
| LinkedIn |
LinkedIn – Attachment |
~ 4.1.818.1 |
~ 9.1.318 |
| LinkedIn – Contact |
| LinkedIn – Conversation |
| LinkedIn – Messages |
| LinkedIn |
LinkedIn – Attachment |
~ 4.1.818.1 |
~ 9.1.318 |
| LinkedIn – Contact |
N/A |
| LinkedIn – Conversation |
| TikTok |
TikTok Contact |
~ 25.6.4 |
N/A |
| TicTok Conversation |
| TinTok Messages |
|
|
|
ポータブルケース機能の強化 |
| 1. |
FTKのポータブルケースを作成するためのワークフローがより使用しやすいように変更されました。[Files] > [Reports]から、新しく導入された”Portable Case”オプションを有効にして、必要なファイルを含む新しいポータブルケースを構成および生成できるようになりました。
|
|
| 2. |
作成したポータブルケースを起動するためのファイルは、”Launch FTK Portable Case.bat”という名前に変更されました。 |
|
| 3. |
既存のポータブルケースからさらに絞り込みをした”サブポータブルケース (Sub Portable Case)”を作成するオプションが提供されるようになりました。
また、”Sub Portable Case”ポップアップウィンドウに、”Create Searchable Index”と”Index Binary”オプションが新たに表示され、サブポータブルケースのアイテムを検索できるようになりました。 |
|
| 4. |
ポータブルケースのアイテムリストにフィルターを適用すると、関連するフィルタの カウントが”Filters”パネルで動的に更新されるようになりました。 |
|
| 5. |
ポータブルケースに対応する情報を表示するために、以下のビューアタイプが新たに導入されました:
- Chat:チャットとメッセージのファイルタイプを表示します。
- Hex:16進数(HEX)形式のファイルを表示します。
- Contact:連絡先ファイルの種類を表示します。
- Web:Webページファイルを表示します。
- Video:ビデオファイルの種類を表示します。
- OCR Text:画像ファイルから抽出されたテキストを表示します。
|
|
| 6. |
ポータブルケースに検索可能なインデックスを作成するオプションが追加されました。ポータブルケースを作成する際に、新しく導入された”Create Searchable Index”オプションをチェックする必要があります。 |
|
| 7. |
正確なフィルタリングのために、検索バーに対してANDとORのブール演算子が新たに導入され、ポータブルなケースで入れ子検索を実行できるようになりました。 |
|
| 8. |
“Item List”ビューアーにおいて、以下の機能が追加または強化されました:
- “Auto Column”カラムの追加:選択されたファイルタイプに合わせて、Item Listのカラムが自動的に追加もしくは除外されます。
- 新しいカラム”Hit Count”の追加:対応するファイルに存在する検索語の出現数が表示されます。このカラムは、検索が実行された場合のみ表示されます。
- ポータブルケース内のファイルに関連する地域と都市を表示できるようになりました。”Item List”の新しく導入された”GeoTagRegion”及び”GeoTagCity”カラムから情報を見ることができます。
- ポータブルケース内のアイテムをZIPファイルにしてエクスポートできるようになりました。ZIPファイルにエクスポートするには、エクスポート操作の実行中に、”Export to ZIP”オプションを有効にします。
|
|
|
その他 |
| 1. |
新機能”Bloom Filter”を導入し、システムファイルの取り扱いを大幅に改善しました。これは、既知のシステムファイルを効率的に識別し、処理のオーバーヘッドを削減します。これにより、特に大規模なデータセットでのパフォーマンスを向上させます。この機能を使用するためにKFFサーバーをセットアップする必要はなく、FTK処理エンジンに組み込まれています。
|
|
| 2. |
全てのオーディオとビデオファイルをシームレスに再生するために、File ContentペインのNaturalタブに”VLC Media Player”がサポートされるように強化されました。 |
|
| 3. |
操作内容・結果にかかわらず、ジョブ完了後に自動的にTempフォルダー内のデータをクリーンアップできるようになりました。これにより、特にジョブの分散処理をした場合により役立つはずです。 |
|
| 4. |
“New Case Options”ダイアログに新しく追加された”Date Format”を使用して、ケース内に表示される日付の形式を変更できるようになりました。既存のケースにおける日付表示の変更については、[View] > [Time Display Format]から変更できます。
|
|
| 5. |
PostgreSQLを介して、データサイズに関係なくケース内の最大5,000万アイテムをサポートするように強化されました:
- 1ケースあたり追加可能な証拠データ数:127
- 1ケースでサポートされるファイル数/レビューページ:50,186,006
- 使用した証拠データの種類:Windows、Mac OS、UFDR、Android、iOS、PST、アーカイブなど
|
|
| 6. |
SlackのJSONエクスポートファイルの処理をサポートするようになりました。”Expansion”オプションから”Exterro Chat”パーサーを使用してチャットを解析します。 |
|
| 7. |
FTKは以下の暗号化されたファイルの解読をサポートするようになりました:
- ZIPCRYPTO 暗号化で作成されたZipアーカイブ
- ES-256 暗号化で作成された7Zアーカイブ
|
|
| 8. |
Mac PCからの Skype (バージョン8.97.0.404まで) データの解析をサポートするように強化されました。 |
|
| 9. |
Windowsの各イベントとイベントIDの両方を使用する新しいWindowsマッピング構造が強化されました。これは、SANS Instituteのデータや他の研究成果から取得したリソースに基づいて行われています。 |
|
| 10. |
インストール前に、インストーラがインストール環境の自動チェックを行うようになり ました。これにより、アプリケーションをインストールするシステムのすべての仕様(RAM、CPU コア、STATE/TEMP 領域など)がユーザーに提供され、最低限の推奨事項が提供されます。
|
|
| 11. |
以下のOSでのインストールに新たに対応しました:
- Windows 11
- Windows Server 2022
|
|
| 12. |
Postgres 11.2からPostgres 14へのケースの移行をサポートするようになりました。 |
|
| 13. |
イベントログから USB デバイスのボリュームシリアル番号 (VSN) を解析するように拡張されました。 |
|
| 14. |
“FTK_Log.txt”ファイルに以下の変更が加えられました:
- デフォルトでは、ケースで実行されたすべての活動の包括的なロギングが有効になっています。
- ファイルの最大サイズは48MBに設定され、それを超えると新しいログファイル(ftk_log.<timestamp>.txt)が作成され、記録されます。
- ログはユーザーフレンドリーな言語で記録されるようになりました。
- デバッグログおよび”JobProgressInformation”ログファイルは、証拠データの処理時にケースフォルダ内に作成されます。
- ログの収集フィールドに対してダウンロードボタンをクリックすることで、ケースのすべてのログをZIPファイルでダウンロードできるようになりました。
|
|
|
