Forensicist

The Sleuth Kit(TSK)がメジャーバージョンアップして3.0.0になり、Autopsyもバージョン2.20がリリースされました。公式サイトのHistoryによると以下が変更点です。

• Orphanファイル(メタデータ構造は残っていてルートディレクトリから到達可能な親ディレクトリをもたない削除済ファイル)が$OrphanFilesディレクトリに表示されるようになりました。
• FATファイルシステムでMBRとファイルアロケーションテーブルがルートディレクトリのファイルとしてアクセスできるようになりました。
• fls(および相当するAPIライブラリ)の実行時に、各ディレクトリにより多くの削除済ファイルを表示するようになりました。以前は"ifind -p"を各ディレクトリで実行する必要がありましたが自動化されています。

Google Chrome Forensics
http://www.machor-software.com/google_chrome_forensics

世間を賑わせているGoogle社のブラウザGoogle Chromeですが、早速フォレンジック用の解析ツールが出ています。$20で販売されていますがTrial版があるのでとりあえず試すことはできる状態です。

SANS - Computer Forensics and e-Discovery with Rob Lee
http://forensics.sans.org/

SANSでforensic用のサイトが立ち上がりました。注目すべきはSANS Investigative Forensic Toolkit (SIFT)でしょうか。フォレンジック解析に必要なツール類がまとまっているVMwareイメージのようです。

Forensic Analysis of a SQL Server 2005 Database Server
http://forensics.sans.org/community/papers/forensic_analysis_of_a_sql_se...

MSのSQL Server 2005を解析する際のポイント等がまとめられています。

元参事のＰＣ、一部データ復元できず　大分教員採用汚職 (2008年8月7日8時25分)
http://www.asahi.com/national/update/0805/SEB200808050020.html

"大分県の教員採用汚職事件で、 ... 受験者の成績の改ざんに使ったとされるパソコン２台のハードディスクから４万３千件のファイルを取り出した。 ... 一部のデータは復元が不可能とみられ、改ざんの全容解明は難航しそうだ。 ... 押収したパソコン２台のデータを県警で複製。２種類の市販ソフトを使って復元作業を進め、ファイルを閲覧できるようにした。今後は受験者名などで検索し、採用試験に関係するファイルを抽出。改ざん前の元データを割り出したい考えだ。...削除をされてから時間がたち、復元が難しいファイルも多いという。作成日時のデータが壊れて時系列で並ばなかったり、タイトルが「？？？」と表示されたりするファイルもあるという。県教委幹部は「削除されたデータは古くなればなるほど破損の可能性が高まる。状況は厳しい」と漏らした。...「元データ」の割り出しに成功したとしても、照合用資料となる答案用紙は廃棄されており、元データが正確かどうかの立証も難しいとみられている。"

市販ソフトに何を使っているのか気になるところです。EnCaseみたいなフォレンジック系やFinalDataみたいな復元に特化したツールを併用してる感じでしょうか。ぐちゃぐちゃな状態からでも可能な限り復元するならカービングや文字列検索をうまく使うしかなさそうですが、実際にどうやっているのか気になるところです。最後の記述の「元データが正確かどうかの立証も難しい」というのはデジタルフォレンジックの課題??使っていたOSとファイルシステムが明らかなら、見つけた証拠の信頼性というか事実関係をうまく説明できるように思うけど難しいのかな。