QualityNet サイバーフォレンジック事業部

03-6260-9237

営業時間(9:00~17:30)定休日(土曜・日曜・祝祭日)

カタログ
ダウンロード お問い合わせ

新バージョンのリリース

ホーム > 新バージョンのリリース > Exterro 社製品

FTK v8.0 リリース

概要

FTK v8.0が、2023/09/23 にリリースされました。
主な追加・修正・変更点等は、以下をご覧ください:

 

※ 記事内のURLは、予告なく変更、もしくは削除されることがあります。

機能の追加、及び拡張

  • Smart View” 機能が搭載され、Web ブラウザーを使用してケースを表示およびレビューできるようになりました。FTK に表示される “Smart View” ボタン(以下の各メニューのいずれか)をクリックします。

 

 

    • ケース画面のヘッダーから

 

 

    • ケースを開く際に表示される “Select case window template” ポップアップから

 

 

    • [Tools] > [Other Applications] > [Smart View] から

 

 

    • Smart View 内の “Smart Grid View” は、ケース内のファイルをフィルタリングする簡単で効率的な方法です。Smart Grid Viewでは、全てのメタデータの値が自動的にグループ化され、対応するカラムに表示されるため、簡単に確認できます。ほとんどのファイルのメタデータは、複数のメタデータを持つため、複数のグリッドに分類されます。フィルタークエリを形成するために必要な全ての値をクリックして選択するだけで、対応するファイルセットを表示できます。

 

  • iTunes(バージョン16.0 (20A362) までのiOSモバイルデバイス)からの非暗号化/暗号化データのiOSバックアップの処理をサポートするようになりました。

 

  • Cellebrite を使用して収集された、暗号化されていないファイルシステムのイメージファイルの処理をサポートするようになりました。

 

  • “Mobile Phone (iOS) Biome Application Information” の以下のアーティファクトを解析するようになりました:

 

  • Biome AppInFocus
  • Biome AppInstall
  • Biome Backlight Public
  • Biome Battery Percentage
  • Biome Device PluggedIn
  • Biome Hardware Reliability
  • Biome Notifications Public
  • Biome Now Playing Public
  • Biome Text Input Sessions
  • Biome User Activity Metadata
  • Biome WIFI
  • Application Intent

 

  • “Location” 関連データについては、以下のアーティファクトが導入されました。

 

iOS

  • Find My Information:
    • Owner Information
    • Device Information List
    • Device Information
    • Device Address
    • Device Location
    • Crowd Source Location
  • iOS Media Information:
    • Business Category Cache
    • Location Information
      • Location Cache
      • Reverse Geo Location Information
        • Reverse Geo Location
        • Postal Address
        • Final Place
        • Sorted Place
        • Backup Place
    • Public Event Query Location
  • Mobile Phone(iOS) Network Information
    • iOS Mobile WiFi-Access Point
 Android

  • Android Media Information:
    • Geo Tagged Media
    • First Party-Geo Tagged Media
  • Weather Clock Application:
    • Weather Content
    • Weather Daily Information
    • Weather Hourly Information
    • Weather Information
  • Mobile Phone (Android) Google Map:
    • Android Mobile GMAP Cached Search History

 

  • “HEIC” 画像は、”Export” ダイアログから新しく導入された “Export HEIC as JPG” オプションを使って JPG としてエクスポートすることが出来るようになりました。

 

 

  • チャットのネイティブビューは、ユーザーが簡単にレビューできるように、ソースチャットアプリのネイティブに近い形式で提供するように強化されました。以下の情報は、チャット変換専用のネイティブビューのヘッダーに表示されます:
    • チャットアプリ名
    • 選択されたチャットにあるメッセージの総数
    • チャットの参加者
    • 最初と最後のチャットの日時
    • “Attachment(s)”をクリックすることによる、チャット内の全ての添付ファイルの表示
    •  注意  : 添付ファイルの表示中に、”Filter conversations around this attachment”ボタンをクリックすると、ネイティブビューで添付ファイルに関連するチャットに移動して表示することができます。

 

  • “New Case Options”の “Evidence Processing” セクションに、モバイルの証拠データを効率的に処理するための追加処理プロファイル “Mobile Processing” が追加されました。このプロファイルでは、基本的な解析、システム要約、インデックス作成オプションがデフォルトで選択されています。拡張オプションには以下が含まれています:
    • Exterro Chat Parser
    • Webブラウザー関連データ(Google Chrome, Firefox, Safari を含む)
    • すべてのアーカイブタイプ(ZIP, RAR, TAR, GZIP)
    • iOS と Android のバックアップ

 

 

  • 処理ワークフローを簡素化するために、対応するファイルの処理中にUFDRとXRYのExpansionオプションを自動的に選択するように強化されました。

 

アプリ名 アーティファクト名 対応バージョン (Android) 対応バージョン (iOS)
Microsoft Teams Microsoft Teams Attachment ~ 1416/1.0.0.2023072702 ~ 5.8.0
Microsoft Teams Calls
Microsoft Teams Contact
Microsoft Teams Conversation
Microsoft Teams Group Conversation
Microsoft Teams Messages
LinkedIn LinkedIn – Attachment ~ 4.1.818.1 ~ 9.1.318
LinkedIn – Contact
LinkedIn – Conversation
LinkedIn – Messages
LinkedIn LinkedIn – Attachment ~ 4.1.818.1 ~ 9.1.318
LinkedIn – Contact N/A
LinkedIn – Conversation
TikTok TikTok Contact ~ 25.6.4 N/A
TicTok Conversation
TinTok Messages

 

  • FTKのポータブルケースを作成するためのワークフローがより使用しやすいように変更されました。[Files] > [Reports] から、新しく導入された “Portable Case” オプションを有効にして、必要なファイルを含む新しいポータブルケースを構成および生成できるようになりました。

 

 

 

  • 作成したポータブルケースを起動するためのファイルは、”Launch FTK Portable Case.bat” という名前に変更されました。

 

  • 既存のポータブルケースからさらに絞り込みをした”サブポータブルケース (Sub Portable Case)”を作成するオプションが提供されるようになりました。また、”Sub Portable Case” ポップアップウィンドウに、”Create Searchable Index” と “Index Binary” オプションが新たに表示され、サブポータブルケースのアイテムを検索できるようになりました。

 

 

 

  • ポータブルケースのアイテムリストにフィルターを適用すると、関連するフィルタの カウントが “Filters” パネルで動的に更新されるようになりました。

 

  • ポータブルケースに対応する情報を表示するために、以下のビューアタイプが新たに導入されました:
    • Chat:チャットとメッセージのファイルタイプを表示します。
    • Hex:16進数(HEX)形式のファイルを表示します。
    • Contact:連絡先ファイルの種類を表示します。
    • Web:Webページファイルを表示します。
    • Video:ビデオファイルの種類を表示します。
    • OCR Text:画像ファイルから抽出されたテキストを表示します。

 

  • ポータブルケースに検索可能なインデックスを作成するオプションが追加されました。ポータブルケースを作成する際に、新しく導入された “Create Searchable Index” オプションをチェックする必要があります。

 

  • 正確なフィルタリングのために、検索バーに対して AND と OR のブール演算子が新たに導入され、ポータブルなケースで入れ子検索を実行できるようになりました。

 

  • “Item List” ビューアーにおいて、以下の機能が追加または強化されました:
    • “Auto Column” カラムの追加:選択されたファイルタイプに合わせて、Item List のカラムが自動的に追加もしくは除外されます。
    • 新しいカラム “Hit Count” の追加:対応するファイルに存在する検索語の出現数が表示されます。このカラムは、検索が実行された場合のみ表示されます。
    • ポータブルケース内のファイルに関連する地域と都市を表示できるようになりました。 “Item List” の新しく導入された “GeoTagRegion” 及び “GeoTagCity” カラムから情報を見ることができます。
    • ポータブルケース内のアイテムを ZIP ファイルにしてエクスポートできるようになりました。ZIP ファイルにエクスポートするには、エクスポート操作の実行中に、”Export to ZIP” オプションを有効にします。

 

  • 新機能 “Bloom Filter” を導入し、システムファイルの取り扱いを大幅に改善しました。これは、既知のシステムファイルを効率的に識別し、処理のオーバーヘッドを削減します。これにより、特に大規模なデータセットでのパフォーマンスを向上させます。この機能を使用するために KFF サーバーをセットアップする必要はなく、FTK 処理エンジンに組み込まれています。

 

 

  • 全てのオーディオとビデオファイルをシームレスに再生するために、File Content ペインの Natural タブに “VLC Media Player” がサポートされるように強化されました。

 

  • 操作内容・結果にかかわらず、ジョブ完了後に自動的に Temp フォルダー内のデータをクリーンアップできるようになりました。これにより、特にジョブの分散処理をした場合により役立つはずです。

 

  • “New Case Options” ダイアログに新しく追加された “Date Format” を使用して、ケース内に表示される日付の形式を変更できるようになりました。既存のケースにおける日付表示の変更については、[View] > [Time Display Format] から変更できます。

 

 

  • PostgreSQL を介して、データサイズに関係なくケース内の最大 5,000万アイテムをサポートするように強化されました:
    • 1ケースあたり追加可能な証拠データ数:127
    • 1ケースでサポートされるファイル数/レビューページ:50,186,006
    • 使用した証拠データの種類:Windows、Mac OS、UFDR、Android、iOS、PST、アーカイブなど

 

  • SlackのJSONエクスポートファイルの処理をサポートするようになりました。”Expansion”オプションから”Exterro Chat”パーサーを使用してチャットを解析します。

 

  • FTKは以下の暗号化されたファイルの解読をサポートするようになりました:
    • ZIPCRYPTO 暗号化で作成されたZipアーカイブ
    • ES-256 暗号化で作成された7Zアーカイブ

 

  • Mac PC からの Skype (バージョン8.97.0.404まで) データの解析をサポートするように強化されました。

 

  • Windows の各イベントとイベント ID の両方を使用する新しい Windows マッピング構造が強化されました。これは、SANS Institute のデータや他の研究成果から取得したリソースに基づいて行われています。

 

  • インストール前に、インストーラがインストール環境の自動チェックを行うようになり ました。これにより、アプリケーションをインストールするシステムのすべての仕様(RAM、CPU コア、STATE/TEMP 領域など)がユーザーに提供され、最低限の推奨事項が提供されます。

 

 

  • 以下の OS でのインストールに新たに対応しました:
    • Windows 11
    • Windows Server 2022

 

  • Postgres 11.2からPostgres 14へのケースの移行をサポートするようになりました。

 

  • イベントログから USB デバイスのボリュームシリアル番号 (VSN) を解析するように拡張されました。

 

  • “FTK_Log.txt” ファイルに以下の変更が加えられました:
    • デフォルトでは、ケースで実行されたすべての活動の包括的なロギングが有効になっています。
    • ファイルの最大サイズは 48MB に設定され、それを超えると新しいログファイル “ftk_log.<timestamp>.txt” が作成され、記録されます。
    • ログはユーザーフレンドリーな言語で記録されるようになりました。
    • デバッグログおよび “JobProgressInformation” ログファイルは、証拠データの処理時にケースフォルダ内に作成されます。
    • ログの収集フィールドに対してダウンロードボタンをクリックすることで、ケースのすべてのログを ZIP ファイルでダウンロードできるようになりました。

詳細情報

製品についての情報は、以下のWebサイトをご確認ください。

FTK v7.5.1 リリース

概要

FTK v7.5.1が、2021/10/28 にリリースされました。
主な追加・修正・変更点等は、以下をご覧ください:

 

※ 記事内のURLは、予告なく変更、もしくは削除されることがあります。

機能の追加、及び拡張

  • より新しいOS Xアーティファクトの解析に対応、及び強化しました。
    • Safari のブラウザーデータとブラウザーファイル
      • オートプレイサイト
      • ダウンロード
      • サイト設定
      • AutoFill 修正ファイル
      • クラウドの AutoFill ファイル
      • ダウンロードファイル
      • クラウドタブ
      • 履歴
      • トップサイト
      • キャッシュインデックスファイル
      • クラウドタブファイル
      • 履歴ファイル
      • トップサイトファイル
    • HEIC 画像のネイティブレビューに対応するため、新しい処理オプション “HEIC Conversion” が追加されました。
    • iWorkファイルをネイティブに確認できるようになりました。
      • 但し、本機能は FTK Plus 及び FTK Central における機能で、FTKでは確認することはできません。
    • 既存の “Generate System Summary” 処理オプションを使用して処理することで、OS X システム情報をシステムサマリータブに表示することができるようになりました。関連するカラムセットは、”OS Information” カラムグループで指定することができます。
    • EMLX ファイルは、メールの署名、予定、添付ファイルを、”Email” タブで適切に解析および表示できるようになりました。

 

  • オフライン環境でのチャットやドキュメント、メール等の言語翻訳機能が実装されました。

 

  • 処理のパフォーマンスが強化されました:
    • ケースの読み込み時間の短縮
    • ZIP ファイルの処理速度の向上
    • MBOX ファイルの処理速度の向上
    • インデックス作成速度の向上
    • ユーザーのログアウトから再ログインした後の、最初にケースを開く際の速度の向上

 

  • 処理されたイベントログ (Windows Event Logs) の情報が、”System Summary” タブで以下のようにカテゴリ分類されるようになりました:
    • リモートデスクトッププロトコル
    • アカウントマネジメントイベント
    • オブジェクト共有イベント
    • 証跡 (Audit) ポリシーの変更イベント
    • パワーシェル (PowerShell) イベント
    • プロセス追跡
    • パワーイベント
    • ログイン/ログアウト イベント
    • スケジュールされたタスクイベント
    • Windows サービスイベント
    • 無線 LAN 証跡イベント
    • USB ストレージ (Mass Storage) イベント

 

  • 以下の Chrome のユーザーアクティビティデータベースが追加で分類されるようになりました:
    • Web AutoFill データ
    • Current Session データ
    • Last Session データ
    • Last Tabs
    • シンクロされたアカウント
    • 保存されたクレジットカード

 

  • FTK カラムが、効率的に閲覧できるよう、以下のようにカテゴリー別に分類/グループ化されるようになりました。デフォルトで利用可能なカラムグループは以下の通りです:
    • Common
    • Email
    • Internet
    • Location
    • Media
    • Mobile
    • Reports
    • Summary Information

 

  • アプリケーションのアップグレード中、ダイアログが表示され、データベースのアッ プグレードを承認の可否を選択出来るようになりました。

 

  • “Manage Evidence” ポップアップの “Use UNC Path” は、FTK Lab と Enterprise アプリケーションでデフォルトで有効になりました。

詳細情報

その他アップデート情報や詳細に関しては、Exterro社のWebサイトをご確認ください。

 

製品についての情報は、以下のWebサイトをご確認ください。

FTK v7.2 リリース

概要

FTK v7.2が、2019/11/12 にリリースされました。
主な追加・修正・変更点等は、以下をご覧ください:

 

※ 記事内のURLは、予告なく変更、もしくは削除されることがあります。

機能の追加、及び拡張

  • McAfee Drive Encryption (MDE) で暗号化されたボリュームを復号できるようになりました。(FC-44)

 

  • 暗号化された Apple File System (APFS) ボリューム (Mac システム内のチップによって暗号化されたドライブを除く) が復号できるようになりました。(FC-4 / FC-228)
    • Apple の T2 チップによって暗号化された APFS ボリュームの復号には、ドライブがシステム内部にある状態のまま保全するのがベストプラクティスです

 

  • L01 形式のエクスポート機能が追加されました。 (FC-47)

 

  • 光学式文字認識 (Optical Character Recognition (OCR)) エンジンとして、ABBYY が FTK に統合されました。(FC-38 / FC-263)

 

  • システムブラウザーのクッキーの情報は “System Information” タブに集約され確認ができるようになりました。(FC-251)

 

  • Windows 10の新しいバージョンで追加されたレジストリが追加されました。(FC-54)

 

  • Natural ビューの Web View タブは、Content viewer 内に再配置されました。新しい Web (HTML5) のタブと古い Web view のタブは切替可能です。(FC-204)

詳細情報

製品についての情報は、以下のWebサイトをご確認ください。

TOP