Forensicist

初回ログイン時はケースも調査員も登録されていないため以下のようにシンプルな画面です。

まず、ケースを作成してからイメージを追加します。この辺りはAutopsyと似ています。イメージ追加後の画面は以下のようになっています。

ここではThe Honey Project(http://www.honeynet.org/)で公開されていたイメージを使っています。イメージを追加した領域にカーソルをあわせると5つのアイコンが表示されます。一番左のアイコンで様々な情報をインデックス化してDBに投入する処理を行います。

この処理で非常に時間がかかります。上の図は261Mのイメージに対して実行した結果ですが、20分程度かかっています(実行環境はCPU: Pentium 4 2.4GHz, Memory: 2G)。なお、Windows 2000のOSが搭載された4Gのディスクイメージに対して実行したところ、20時間程度かかりました。。やはり相当なスペックがないと実用は難しいと感じます。

イメージの領域で左から2番目の虫メガネのアイコンを選択すると解析用のモードに移ります。