● 50 entries
フォレンジックと IR
- $UsnJrnl ($J)NTFS の更新シーケンス番号変更ジャーナル。あらゆるファイルシステム操作を記録し、ファイルの作成・変更・削除に関する高解像度のタイムラインを提供する。
- Amcache.hveWindows のレジストリハイブで、システム上で実行または存在した全実行ファイルの詳細メタデータ (SHA-1 含む) を保持し、現代 Windows における強力な実行証跡となる。
- AutopsyBrian Carrier と Basis Technology が開発したオープンソースのデジタルフォレンジックプラットフォーム。The Sleuth Kit に GUI と豊富な解析モジュールを提供する。
- Cellebrite UFEDイスラエルの Cellebrite 社が提供するモバイルフォレンジック製品群で、スマートフォン・ドローン・SIM などからデータを抽出・復号・解析する。
- dd (RAW ディスクイメージ)Unix の dd コマンド (または互換ツール) で作成されるストレージデバイスのビット単位フラットコピーで、圧縮・メタデータ・ブロック単位ハッシュを持たない。
- DFIR(デジタルフォレンジックとインシデントレスポンス)デジタル証拠調査とインシデント対応を統合し、サイバー事象の検知・封じ込め・根絶・教訓化を行う複合的な領域。
- E01 (EnCase) フォレンジックイメージ形式Guidance Software が EnCase 向けに開発したフォレンジックディスクイメージ形式で、圧縮分割ファイルにメタデータとチェックサムを埋め込む。
- EnCaseEnCase は OpenText (旧 Guidance Software) が提供する商用デジタルフォレンジック製品群で、1990 年代後半から法執行機関や企業の調査担当者に広く利用されている。
- Eric Zimmerman の EZ ToolsEric Zimmerman が提供する Windows DFIR 向けの無料 CLI/GUI ツール群で、主要なフォレンジックアーティファクトを解析しタイムラインを構築できる。
- FTKForensic Toolkit (FTK) は、AccessData が開発し現在は Exterro が所有する商用デジタルフォレンジックスイートで、コンピュータ証拠の取得・索引化・解析に用いられる。
- GrayKeyGrayshift 社 (現在は Magnet Forensics) が提供する専用ハード/ソフトのアプライアンスで、法執行機関がロックされた iOS・Android 端末を解錠しデータ抽出するために用いる。
- hiberfil.sysWindows の圧縮済み休止状態ファイル。休止時点の物理メモリのほぼ完全なスナップショットを保持し、電源を切ったシステムからでも RAM 内容にフォレンジックでアクセスできる。
- Jump ListWindows の AppID をキーにしてアプリごとに保持される履歴ファイル。ユーザーが最近開いたファイルやタスクを記録し、特定プログラムでのファイルアクセスを示す強力な証拠となる。
- KAPE (Kroll Artifact Parser and Extractor)Kroll が提供する Windows 用トリアージツールで、稼働中のシステムやイメージからフォレンジックアーティファクトを収集し、パーサーモジュールで解析結果を出力する。
- Magnet AXIOMカナダの Magnet Forensics 社が提供する商用 DFIR プラットフォームで、ディスク・モバイル・クラウドのソースを取り込み、アーティファクトを解析して統一されたレビュー画面で提供する。
- MFT (Master File Table)NTFS の中心となるメタデータ構造で、ボリューム上の各ファイル・ディレクトリにつき 1 件 1024 バイトのレコードを保持し、Windows ファイルシステム解析のほぼ全ての基礎となる。
- pagefile.sysシステムボリューム上の Windows 仮想メモリスワップファイル。プロセスメモリの断片(資格情報・鍵・コマンドライン・復号済みペイロードなど)を含み得る。
- PlasoKristinn Gudjonsson が作成したオープンソースの Python ツール。多様な情報源から自動的にタイムスタンプを抽出し、フォレンジック用の「スーパータイムライン」を構築する。
- Prefetch ファイルC:\Windows\Prefetch に置かれる Windows の .pf ファイル。プロセスの起動情報を記録し、実行ファイルがシステムで動作した強力な証拠となる。
- Shellbagsユーザーごとの Windows エクスプローラのフォルダー表示設定を保持するレジストリキー。特定のユーザーが特定のフォルダー(リムーバブルやネットワーク経路を含む)を開いた事実を示す証拠となる。
- Shimcache (AppCompatCache)Windows のレジストリ値で、アプリケーション互換性チェック用に実行ファイルのメタデータを記録する。歴史的に実行証跡として利用されてきたが、解釈には注意点が多い。
- The Sleuth Kitディスクイメージとファイルシステムを低レベルで解析するためのオープンソースライブラリおよびコマンドラインツール群。Brian Carrier が維持している。
- Volatility フレームワークAaron Walters と Volatility Foundation が主導するオープンソースのメモリフォレンジックフレームワーク。揮発性メモリ (RAM) のイメージからデジタル痕跡を抽出する。
- Windows レジストリ解析Windows レジストリのハイブを精査し、構成情報、ユーザー活動、プログラム実行や持続化の痕跡を復元するフォレンジック技法。
- アーティファクト分析オペレーティングシステムやアプリケーションが残したデジタルな痕跡を調査し、ユーザー操作・プログラム実行・攻撃者の行動を再構築するフォレンジック手法。
- アンチフォレンジック攻撃者やプライバシーを重視する者がデジタルフォレンジック調査を妨害・遅延・無効化するために用いる手法の総称。
- インシデントレスポンスサイバーインシデントの準備・検知・分析・封じ込め・根絶・復旧を体系的に行い、教訓を反映する組織的プロセス。
- インシデント対応計画サイバーインシデントの準備・検知・封じ込め・根絶・復旧・教訓化を、組織としてどう実施するかを定めた承認済みプレイブック。
- クラウドフォレンジッククラウド上のインフラ・アプリ・SaaS を対象に、プロバイダ API、監査ログ、揮発性リソースを活用して行うフォレンジック調査。
- ステガナリシスステガノグラフィにより一見無害なファイルに埋め込まれた隠し情報を検出し、可能であれば抽出するフォレンジック分野。
- タイムライン分析ファイル、ログ、その他のアーティファクトのタイムスタンプを相関させて、システム上で発生した事象の時系列を再構築するフォレンジック手法。
- ディスクフォレンジックHDD・SSD・USB などの不揮発性ストレージを解析し、ファイルシステム・アプリ・OS のアーティファクトを復元・解釈する分野。
- デジタルフォレンジックコンピュータ・ネットワーク・端末上のデジタル証拠を法的に有効な形で識別・保全・分析・報告する科学的分野。
- ネットワークフォレンジックネットワークトラフィックとメタデータを取得・記録・解析し、セキュリティ事象の調査と攻撃者活動の再構成を行う領域。
- ファイルカービングファイルシステムのメタデータに依存せず、シグネチャ・ヘッダー・フッターを認識して未割当領域や生データからファイルを復元するフォレンジック手法。
- フォレンジックイメージング保存媒体のビットレベルの完全コピーを作成し、暗号学的ハッシュで検証して解析および法廷証拠として用いる手法。
- フォレンジックツールキットデジタルフォレンジック担当者が証拠の取得・保全・解析に用いる、検証済みのハードウェア、ソフトウェア、手順の総称。
- フォレンジックハッシュ検証フォレンジックイメージとソースメディアに対し暗号学的ハッシュ (通常 MD5 と SHA-256) を計算・比較し、証拠の完全性を立証する実務手法。
- フォレンジックレディネスインシデントや法的事案が生じた際に、最小限の影響でデジタル証拠を収集・保全・分析できるよう組織が事前に整備した能力。
- マルウェア解析悪性検体を構造的に調査し、機能・出所・侵害指標・影響を把握するフォレンジック作業。
- メモリフォレンジックシステムの揮発性 RAM を取得・解析し、稼働中プロセス、ネットワーク接続、注入コード、メモリ上の痕跡を明らかにする領域。
- モバイルフォレンジックスマートフォン・タブレット・ウェアラブルを取得・解析し、通信・アプリデータ・位置情報・その他の痕跡を抽出する分野。
- ライトブロッカストレージへの読み取りを許しつつ、証拠を改変しうる書き込みを阻止するハードウェアまたはソフトウェアツール。
- リバースエンジニアリングコンパイル済みのソフトウェア、ファームウェア、ハードウェアを逆アセンブル・解析し、その設計、挙動、内部動作を復元する作業。
- ログ解析システム、アプリケーション、セキュリティ機器のログを体系的に精査し、セキュリティ関連事象を検知・調査・再構築するフォレンジック作業。
- 揮発性の順序 (Order of Volatility)RFC 3227 で定義された取得優先順位。フォレンジック対応者に対し、上書き・消失する前に最も揮発性の高い証拠から先に収集することを求める。
- 机上演習関係者が会議形式で仮想のサイバーインシデントを通し演じ、計画・役割・意思決定・コミュニケーションを検証するシミュレーション。
- 証拠の取得フォレンジックに耐えるツールと手順で、システム、ネットワーク、クラウドサービスからデジタル証拠を防御可能な形で収集すること。
- 証拠保全デジタル証拠が改竄・喪失・汚染を受けないように保護し、調査全体を通じて証拠能力と信頼性を維持するフォレンジックの分野。
- 証拠保全の連鎖(チェーン・オブ・カストディ)押収から最終処分まで、証拠に関わったすべての人物・場所・作業を時系列で記録した連鎖的な書面記録。