ファイル解析

概要

ファイル解析モードでは、ファイルやディレクトリの視点からのイメージの解析を実現する。 このモードでは、ユーザが普通のコンピュータを利用する際と同様のインタフェースが提供されるが、削除されたファイルに関する情報も併せて表示される点が異なる。

このモードでは、証拠収集のためにファイルやディレクトリの内容を調査することが可能になっている。更にバイナリファイルから ASCII 文字列を抽出することにより、基本的なバイナリの解析を実施することも可能である。 また、ファイルを任意のフィールドでソートすることも可能である。

ディレクトリリスト

左側のウインドウには、大きく二つのオプションがある:

最初にこのモードに移った時点では、ディレクトリ表示は行なわれないのがデフォルトである。 Expand Directoriesボタンを選択することで、ディレクトリ表示が行なわれる。「+」の数は、ディレクトリの深さを示している。 なお、HTML インタフェースの制約や状態管理を行なわない(cokkie やセッションIDを利用しない)実装のため、いくつかのディレクトリを展開し、残りを非展開にままにしておくといったインタフェースの実現は困難である。

All Deleted Filesリンクを選択することで、右側の画面に、イメージ内にあるすべての消去されたファイルが表示される。

ディレクトリの内容

右側上部のウインドウには、ディレクトリの内容が表示されている。 ファイルシステム内で、ディレクトリはディスクのデータユニットに割当てられている。データユニットには、ファイル名やファイルのメタデータ構造体の位置情報を含む構造体が格納されている。この画面では、ディレクトリ中のファイル名構造体の解析が行なわれる。これはディレクトリ一覧の左側から任意のディレクトリを選択するか、ディレクトリ内容を表示している画面からディレクトリを選択することにより行なわれる。 いずれかのヘッダ部をクリックすることにより、エントリのソート順を変更することも可能である。

カラムのヘッダ部の定義は以下のとおり:

Add Note リンクにより、このディレクトリに関するコメントを作成して、メモ用のファイルに保存することが可能になる。

Generate MD5 List Generate MD5 List of Files というリンクにより、ディレクトリ内の各ファイルについての MD5ハッシュ値を生成してテキストファイルとして保存することが可能となる。 フィンガープリントのデータベースを用いることで、ファイルが攻撃者によって改変されたかどうかを簡単に確認することが可能である。

削除されたファイルは 2 種類の色で表示されることがある。この違いはファイルのデータ構造体の状態による。 bright red のエントリは、ファイル名の構造体が割当てられておらず、データの位置を示すメタデータ構造体も割当てられていないことを示す。 この場合は、最近削除されたファイルである可能性が高い。メタデータ構造体が割当てられておらず、削除されてからずっと未割当てのままである場合は、データの内容を信頼できる。 darker red のエントリは、メタデータ構造体が reallocate されているため、データもおそらく正しいものではない。

メタデータ構造体から取得されるファイルサイズは、TASK にとって非常に重要である。 TASK は、表示するデータユニット数の確定にこの値を用いる。 サイズが 0 であるにも関わらず、メタデータ構造体がデータブロックを参照している場合、それらのブロックの内容は表示されない。 「force」オプションを選択した上で、メタデータのアドレスを指定することで、Autopsy に強制的に内容を表示させることも可能である。

ファイルが ハッシュデータベースのいずれかに登録されているかどうかを確認する場合は、メタデータのアドレスを選択する。表示される画面にデータベースへのインタフェースが表示される。

ファイルの内容

右側下部のウインドウには、指定されたファイルの内容が表示される。 内容はそのままの形式(非ASCIIの場合、ブラウザ上でうまく表示できない可能性が高い)か「文字列」で表示させることができる。文字列オプションは、バイナリファイルの内容を迅速に解析する際に役立つ。

画面にはファイルタイプの表示も行なわれている。これは「file」コマンドの出力にしたがって表示されている。このコマンドは、ファイルタイプの判断にマジックヘッダやフッタの値を用いている。 ファイルタイプがイメージや HTML の場合、ファイル内容を解析して(そのままの形式ではなく画像やWebページとして)表示(View)するオプションが存在する。 ここで表示する HTML はサニタイズ処理が行なわれたものであるため、画像をロードしたり、リモートサイトに接続したりすることはない。 オリジナルの画像を表示したい場合は、「Export」を選択して、HTML ドキュメトを別のブラウザで表示すること。

Report オプションは、ファイルの内容やMD5ハッシュ値/時刻などを含むASCIIのレポートを生成する。

Export ボタンにより、ファイルが書き出されるため、それをローカルに保存して、他のツールに処理を行なわせることが可能になる。

Add Note ボタンにより、今後の参照する時のための調査員の個人的なメモを追加できる。


Brian Carrier