コンピューターフォレンジック（法医学）：便利なリンクの選択

情報セキュリティインシデントを正常に調査するには、デジタルアーティファクト抽出ツールを使用する実用的なスキルが必要です。 この記事では、デジタル証拠を収集するための便利なリンクとツールのリストを提供します。

このような作業を実行する際の主な目標は、インシデントのイベントを回復するために、デジタル素材の証拠を保存（不変性）、収集、分析する方法と手段を使用することです。

「フォレンジック」という用語は、「フォレンジックサイエンス」、文字通り「フォレンジックサイエンス」の略語です。つまり、証拠の研究の科学であり、まさにロシア語で犯罪学と呼ばれています。 ロシア語の「フォレンジック」とは、すべてのフォレンジック、つまりコンピューターを意味するわけではありません。

一部の著者は、コンピュータフォレンジックとネットワークフォレンジックを区別しています。

フォレンジックの主な適用分野は、コンピューター情報が暴行の対象として表示されるイベント、犯罪を犯すためのツールとしてのコンピューター、およびあらゆるデジタル証拠の分析と調査です。

情報の完全な収集と分析には、さまざまな高度に特殊化されたユーティリティが使用されます。これについては以下で説明します。 特定の刑事事件の結論に関する作業を行う場合、特定の証明書とソフトウェアの適合性（FSTECのライセンス）の可用性が考慮される可能性が最も高いことを警告します。 この場合、情報を収集および分析するために組み合わせた方法を使用するか、認定されていないソースから受信したデータに基づいて結論と結論を書く必要があります。

フレームワーク

• dff-デジタルフォレンジックフレームワーク-データマイニングおよび研究用のオープンソースプラットフォーム。
• PowerForensics-ハードドライブを調べるために設計されたPowerShellで記述されたPowerForensicsユーティリティ。
• スルースキット -スルースキット（TSK）は、Cライブラリと、ディスクイメージを探索できるコマンドラインツールのコレクションです。

リアルタイムユーティリティ

• grr -GRR Rapid Response：インシデント調査および分析ツール。
• mig -Mozilla InvestiGatorは、インシデントを調査および分析するための分散リアルタイムプラットフォームです。

イメージの操作（作成、複製）

• dc3ddは、ddコンソールユーティリティの改良バージョンです。
• adulau / dcflddは、ddの改良版です。
• FTK Imager -FTK Imager- Windows環境でストレージメディアを表示およびクローンします。
• Guymager -Linux環境でストレージメディアを表示およびクローンします。

データ抽出

• bstringsは、人気のある文字列ユーティリティの改良版です。
• bulk_extractor-ファイルから電子メール、IPアドレス、電話を識別します。
• flossこのユーティリティは、高度な静的分析方法を使用して、マルウェアバイナリからデータを自動的に解読します。
• photorec-データおよび画像ファイルを抽出するためのユーティリティ。

RAMワーク

• inVtero.netは高速フレームワークです。
• KeeFarce-メモリからKeePassパスワードを抽出します。
• Rekallは、Pythonで書かれたRAMダンプ分析です。
• ボラティリティ -ボラティリティフレームワークは、物理メモリイメージの汎用分析のためのユーティリティセットです。
• VolUtilityは、VolatilityフレームワークのWebインターフェイスです。

ネットワーク分析

• SiLKツール -大規模ネットワークのセキュリティ分析を容易にするトラフィック分析ツール。
• Wiresharkは、よく知られたネットワークスニファーです。

Windowsアーティファクト（ファイルの抽出、ダウンロード履歴、USBデバイスなど）

• FastIRコレクター -Windowsシステム（レジストリ、ファイルシステム、サービス、スタートアップなど）に関する情報の広範なコレクター
• FREDは、クロスプラットフォームのWindowsレジストリアナライザーです。
• MFTパーサー-MFTパーサーの比較リスト（MFT-マスターファイルテーブル）。
• MFTExtractor -MFTパーサー。
• NTFSジャーナルパーサー-NTFSジャーナルパーサー 。
• NTFS USN Journalパーサー--USN雑誌のパーサー 。
• RecuperaBit -NTFSデータ復旧。
• python-ntfs -NTFSデータ分析。

OS X Research

• OSXAuditor -OS X オーディター 。

インターネット成果物

• chrome-url-dumper -Google Chromeから情報を取得します。
• 後知恵-Google Chrome / Chromiumの履歴分析。

時間間隔分析

• plaso-タイムストップの抽出と集計。
• timesketch-タイムスタンプ分析。

六角エディター

• 0xED -HEX OS Xエディター。
• Hexinator -Synalyze ItのWindowsバージョン。
• HxDは小さくて高速なHEXエディターです。
• iBoredはクロスプラットフォームHEXエディターです。
• Synalyze It！ -チームプレイのHEXエディター。
• wxHex Editorは、ファイル比較機能を備えたクロスプラットフォームHEXエディターです。

コンバーター

• Cyber​​Chefは、データのエンコード、デコード、圧縮、分析のためのマルチツールです。
• DateDecode-バイナリデータを変換します。

ファイル分析

• 010 Editorテンプレート-010エディター用のテンプレート 。
• Contruct形式-Pythonのさまざまなタイプのファイルのパーサー。
• HFSPlus文法-Synalysis用のHFS +コンポーネント
• Sleuth Kitファイルシステムの文法 -さまざまなファイルシステムのコンポーネント。
• Synalyse It！ 文法 -Synalyze Itのファイルコンポーネント！
• WinHexテンプレート -WinHexおよびX-Waysのファイルコンポーネント

ディスク画像処理

• imagemounter-高速マウントディスクイメージ用のコマンドラインユーティリティ
• libewf -LibewfライブラリとEWF、E01形式のアクセスおよび処理ユーティリティ。
• xmount-ディスクイメージを変換します。

まとめ

デジタル証拠の調査と収集を行うには、不変性、完全性、情報の完全性、およびその信頼性の原則を遵守する必要があります。 これを行うには、ソフトウェアの推奨事項と調査方法に従ってください。 次の記事では、メモリイメージを分析するためのユーティリティの実際の使用例を紹介します。