SIFT Workstationで学ぶ5つの必須ツール
- メディア管理層
- ファイルシステム層
- ファイル層 (“The Human Interface”)
- Metadata (“Inode”) Layer
- Content (“Block”) Layer
便利なことに、各ツールの名前は、一貫したプレフィックス/サフィックス形式によってその目的に対応しているのです。 たとえば、ボリューム システムのパーティション レイアウトを表示するためのツール「mmls」を見てみましょう。 接頭辞の「mm」はメディア管理層で動作していることを示し、接尾辞の「ls」はLinuxコマンドの「ls」(ファイルやディレクトリの一覧を表示するコマンド)であることを示しています。 事実上、”mmls” はボリューム システムのパーティションのリストレイアウトを提供し、パーティション テーブルとディスク ラベルを含みます。
しかしながら、ツール “icat” に関しては、接頭辞 “i” は inode レイヤー (メタデータ) で動作することを示し、接尾辞は Linux コマンド “cat” でファイルの内容を表示するために使用されるだけです。 このツール名から、「icat」はinode番号を元にファイルの内容を出力することが正確に推測できます。 さらに、SIFT Workstation には、TSK のプログラムやプラグインとの対話を抽象化および単純化する GUI インターフェイスである “Autopsy” も付属しています。
コマンド ラインまたは Web ブラウザ インターフェイスから作業するかどうかにかかわらず、TSK および Autopsy は詳細かつ堅牢なフォレンジック調査を実行するのに必要なツールを提供します。
Volatility
現代のサイバー攻撃は、検知を逃れるためにますます巧妙になっており、被害者のマシンのハードドライブにフォレンジックな痕跡を残さないこともしばしばあります。 これは、フルディスク暗号化の普及と相まって、コンピューター システムのメモリ ダンプを抽出して詳細な分析を行う能力の重要性をさらに高めています。
Volatility を使用すると、調査者はメモリ フォレンジックを行い、大量の貴重な情報を確認することができます。 Volatility は、不正なプロセスやルートキットを特定するだけでなく、パスワードのハッシュや悪質なコード注入の証拠も取得することができます。 Volatility フレームワークは、インシデント対応やマルウェア分析を行うために特化されており、現代のデジタルフォレンジック調査官は必ず習得しておくべきものだと私は考えています。 同様に、Windows ベースのオペレーティング システムは、ホーム ユーザーの市場シェアの大部分を占めています。 Windows レジストリは、キー、サブキー、および値の階層型データベースであり、オペレーティング システムに重要な低レベルの設定を提供します。 どのユーザーがいつログオンしたのか? USB Drive が接続されたのは何時ですか? そのUSBドライブのシリアル番号は何番か? どのファイルにアクセスしたか? どのユーザーが何を検索したか? これらの情報はすべてレジストリの中に記録されています。
RegRipper は、フォレンジック分析を実行するために、レジストリから関心のあるターゲット値を簡単に解析する方法を提供するように設計されたオープンソースのツールです。 これを行うために、調査者は、System や SAM などのターゲットとしたい関連するレジストリ ハイブ、およびターゲット上で特定のアクションを実行するために必要なプラグインの名前を提供します。
たとえば、Shutdown プラグインと一緒に System ハイブを渡すことにより、RegRipper はシステムがいつ最後にシャットダウンしたかに関する関連情報をすばやく解析し返送します。 1534>
Wireshark
有名なパケットアナライザである Wireshark なしでは、このリストは完成しません。 そのデバッグとトラブルシューティングの能力でネットワーク・コミュニティーの中で有名なこのツールは、ワイヤーを通過するすべてのデータの詳細を深く覗き込んで切り離す能力を持っています。 ネットワーク フォレンジックの目的のために、Wireshark は、侵入や悪意のあるトラフィックを識別する能力だけでなく、潜在的な犯罪の周囲の文脈的基礎を確立するのに役立つ情報を収集する能力を調査者に提供します。 このようなことが起こった唯一の記録は、パケット アナライザによって記録されたトラフィックの中にある可能性があります。 Wireshark は、ソース・アドレス、ポート番号、およびプロトコル・タイプによるフィルタリングなど、潜在的に「興味深い」トラフィックを分離して識別するのに役立つ一連の機能を提供します。
結局、ネットワーク・フォレンジックは徐々に成長して、デジタル犯罪を調査する重要な下位部門になり、Wireshark がフォレンジックのツールキットに非常に付加価値を与えることが証明されました。
Plaso/Log2Timeline
フォレンジック分析では細部にまで注意を払う必要があり、イベントの正確なタイムラインを構築することは、所有している証拠を評価する際に最も重要なことです。 誤ったタイムラインは、有罪の証拠を発見するか無罪の証拠を発見するかの違いになりかねません。 SIFT Workstation では、イベント ログ、プリフェッチ、シェルバッグを手動で調べたり、異なるソースからこのデータを照合したりするのではなく、1 つのツールを使用して「スーパー タイムライン」を作成するオプションが用意されています。 Log2Timeline は、調査結果に豊富なコンテキストを提供し、誤検出を排除するのに役立ちます。
Log2Timeline は作業を容易にするだけでなく、作業の質を高め、事件を解決するのに必要な「パズルの最後のピース」の発見につながることがよくあります。 SIFT Workstation はプロ級のフォレンジック フレームワークであり、自由に使える高品質でオープンソースのツールを豊富に提供しています。 好奇心を満たし、提供されているものすべてを探索することをお勧めします。 間違いなく、これらの 5 つのツールは私のお気に入りであり、デジタル フォレンジックの学習には絶対に欠かせないものだと思います
。