新バージョンのリリース
ホーム > 新バージョンのリリース > EnCase Forensic v21.2 リリース
EnCase Forensic v21.2 リリース
-
EnCase Forensic v21.2が、2021/04/21 にリリースされました。
主な追加・修正・変更点等は、以下をご覧ください:※ 記事内のURLは、予告なく変更、もしくは削除されることがあります。
- 日本語版 UI の対応
- EnCase Forensic v8.x まで対応しており、EnCase Forensic v20.x ではリリースされていなかった日本語UIが再登場しました。
- 日本語UIを使用するには、インストーラーを別に入手する必要があります。
- ソーシャルメディアの解析に対応
- EnCase Forensic から以下のソーシャルメディアに関するアーティファクトの解析が可能になりました:
- Facebook:ログインデータ、検索、訪問したページ・投稿・ストーリーズ、閲覧した画像・動画
- Instagram:ログインデータ、訪問したページ、画像、ストーリー
- LinkedIn:ログインデータ、閲覧したページ、メッセージの詳細、検索
- Twitter:ログインデータ、キーワード検索、閲覧した投稿
- EnCase Forensic から以下のソーシャルメディアに関するアーティファクトの解析が可能になりました:
- ケースに追加されたエビデンスの自動処理
- ケースに証拠データを追加した際、Evidence Processor が自動的に処理を開始するよう設定することができるようになりました(デフォルトでは自動処理機能はオフになっています)。
- アップデート後、初めて証拠データをケースへ追加する際、もしくは [Tools] > [Options] の Auto Evidence Processorタブから設定を変更できます。以下の処理オプションやタイムゾーンなどの各種設定を行うと同様の処理が自動で実行され、調査のワークフローの効率化、定型化に有効です。
-
- 上記自動処理オプション “Evidence Processor Options” には予め以下のモジュールが用意されています。
- Indexing Compound Files Emails
- ファイルシグネチャ解析や圧縮ファイルの展開、電子メール・インターネットアーティファクトの検索、テキストやメタデータなどのインデクシングを行う、汎用的な処理オプションです。
- Linux / macOS / Windows All Options
- 上記に加え、Recover Folders、暗号化ファイルの解析、サムネイル作成、Exif 解析、ハッシュ解析、システム情報の解析を行う解析オプションです。解析対象 OS に応じて以下の3つのバリエーションがあります:
- Linux All Options
- Unix Login、Linux Syslog Parser などの Linux 環境向けの処理を追加した解析オプションです。
- OSX All Options
- Unix Login、OS X Artifact Parser などの macOS 環境向けの処理を追加した解析オプションです。
- Windows All Options
- Windows Event Log Parser、Windows Artifact Parser などの Windows 環境向けの処理を追加した解析オプションです。
- Linux All Options
- 上記に加え、Recover Folders、暗号化ファイルの解析、サムネイル作成、Exif 解析、ハッシュ解析、システム情報の解析を行う解析オプションです。解析対象 OS に応じて以下の3つのバリエーションがあります:
- トリアージ用オプション
- Windows Triage
- ファイルシグネチャ解析、インターネットアーティファクトの解析、システム情報の解析だけを行うインシデントレスポンスや緊急対応用の解析オプションです。
- Windows Triage Hash
- 上記処理にハッシュ解析を追加した解析オプションです。
- Windows Triage
- Indexing Compound Files Emails
- 上記自動処理オプション “Evidence Processor Options” には予め以下のモジュールが用意されています。
- 仮想ディスクイメージへの対応強化
- 本バージョンより、以下の2つの仮想ディスクイメージをサポートします:
- Virtual Hard Disk v2 image file format (.vhdx)
- VirtualBox Disk Image (.vdi)
- 既存の VMWare file format (.vmdk) のサポートも拡充しました。RAW/スパースデータファイルへの対応やVMDK descriptorのテキストファイルの解析が可能になりました。
- 本バージョンより、以下の2つの仮想ディスクイメージをサポートします:
- コマンドラインでEnCaseのライセンス管理が可能
- EnCaseに新たに追加されたEnCert license management utility (encert.exe) を使用することで、既存ライセンスの一覧化や削除、ライセンス要求ファイルの (再) 作成といったライセンス管理をコマンドラインから行うことができるようになりました。
- EnCertはデフォルトで以下の場所に配置されます。
- C:\Program Files\EnCase21\License
- 各種コマンド、オプションの詳細は、encert.exe 実行時に表示される HELP をご参照ください。
- 画像やPDFファイルのOCR対応
- 以下の画像データおよびPDFがOCRに対応しました。OCRで読み取られたデータはインデックシング処理後、検索することが可能です。
- BMP
- GIF
- JFIF
- PCX
- PNG
- TIFF
- 以下の画像データおよびPDFがOCRに対応しました。OCRで読み取られたデータはインデックシング処理後、検索することが可能です。
- エビデンスキャッシュの更新
- 証拠処理の効率化のためエビデンスキャッシュの保存方法が変更されます。
- 本バージョンより前の EnCase で処理されたデータは 、EnCase v21.2 以降とは互換性がないためご注意ください。
- 以前のバージョンの EnCase で処理されたデータに対しては警告が表示されます。EnCase v21.2 以降でも使用する場合は再処理が必要になります。
- 証拠処理の効率化のためエビデンスキャッシュの保存方法が変更されます。
- スマートデバイスからのデータ抽出の強化
- データ取得時、iOS/iPadOS の暗号化バックアップが有効でない場合、自動的に有効化できるようになりました。これにより取得可能なデータが増大します(取得完了時に暗号化バックアップは元の状態に戻ります)。
- Android のバックアップ取得時の挙動も改善されました。
- iOS では、以下のアプリの解析をサポートしました。
- Facebook Messenger
- Health
- TigerConnect
- TikTok
- Viber
- Waze
製品についての情報は、以下のWebサイトをご確認ください。
- 日本語版 UI の対応
