
情報セキュリティインシデントを正常に調査するには、デジタルアーティファクト抽出ツールを使用する実用的なスキルが必要です。 この記事では、デジタル証拠を収集するための便利なリンクとツールのリストを提供します。
このような作業を実行する際の主な目標は、インシデントのイベントを回復するために、デジタル素材の証拠を保存(不変性)、収集、分析する方法と手段を使用することです。
「フォレンジック」という用語は、「フォレンジックサイエンス」、文字通り「フォレンジックサイエンス」の略語です。つまり、証拠の研究の科学であり、まさにロシア語で犯罪学と呼ばれています。 ロシア語の「フォレンジック」とは、すべてのフォレンジック、つまりコンピューターを意味するわけではありません。
一部の著者は、コンピュータフォレンジックとネットワークフォレンジックを区別しています。
フォレンジックの主な適用分野は、コンピューター情報が暴行の対象として表示されるイベント、犯罪を犯すためのツールとしてのコンピューター、およびあらゆるデジタル証拠の分析と調査です。
情報の完全な収集と分析には、さまざまな高度に特殊化されたユーティリティが使用されます。これについては以下で説明します。 特定の刑事事件の結論に関する作業を行う場合、特定の証明書とソフトウェアの適合性(FSTECのライセンス)の可用性が考慮される可能性が最も高いことを警告します。 この場合、情報を収集および分析するために組み合わせた方法を使用するか、認定されていないソースから受信したデータに基づいて結論と結論を書く必要があります。
フレームワーク
- dff-デジタルフォレンジックフレームワーク-データマイニングおよび研究用のオープンソースプラットフォーム。
- PowerForensics-ハードドライブを調べるために設計されたPowerShellで記述されたPowerForensicsユーティリティ。
- スルースキット -スルースキット(TSK)は、Cライブラリと、ディスクイメージを探索できるコマンドラインツールのコレクションです。
リアルタイムユーティリティ
- grr -GRR Rapid Response:インシデント調査および分析ツール。
- mig -Mozilla InvestiGatorは、インシデントを調査および分析するための分散リアルタイムプラットフォームです。
イメージの操作(作成、複製)
データ抽出
RAMワーク
ネットワーク分析
Windowsアーティファクト(ファイルの抽出、ダウンロード履歴、USBデバイスなど)
OS X Research
インターネット成果物
時間間隔分析
六角エディター
コンバーター
ファイル分析
ディスク画像処理
まとめ
デジタル証拠の調査と収集を行うには、不変性、完全性、情報の完全性、およびその信頼性の原則を遵守する必要があります。 これを行うには、ソフトウェアの推奨事項と調査方法に従ってください。 次の記事では、メモリイメージを分析するためのユーティリティの実際の使用例を紹介します。