◆シナリオ◆
法医学画像を評価し、それらの画像から証拠データを収集する方法を理解する必要があります。
情報盗難事件の捜査の一環として、上級捜査官アレックスは、システム上の削除されたファイルに証拠価値のある情報が含まれているかどうかを確認するために、AccessData FTK Imager ツールを使用してすべてのシステムをスキャンすることを完了しました。このツールは、システムから削除されたすべてのファイルを回復するという多忙なプロセスを排除するため、調査者の時間を節約します。
◆目的
目的は、学生がフォレンジック画像を表示するためにAccessData FTK Imagerを使用する方法
ハードディスクのフォレンジック イメージを取得した後、フォレンジック調査者はイメージ ファイルの内容をプレビューして、調査に役立つ証拠が含まれているかどうか、または追加の分析が必要かどうかを確認する必要があります。
◆概要
AccessData FTK Imagerツールに慣れ、元の証拠を変更せずにコンピューター データのフォレンジック イメージを調査する方法を学習します。また、電子証拠を評価して、フォレンジック ツールによる証拠のさらなる分析が必要かどうかを判断する方法を理解するのにも役立ちます。
1,
AccessData_FTK_Imager_4.3.1.exeをダブルクリックしてセットアップを起動し、ウィザードによるインストール手順に従ってアプリケーションをインストールします。
※インストール プロセスの最後に、セットアップ ウィザードで [ Launch AccessData FTK Imager]オプションがオンになっていることを確認し、 [Finish]をクリックします。
2,
次のスクリーンショットに示すように、AccessData FTK Imagerのメイン ウィンドウが表示されます。
3,
[ファイル] --> [証拠アイテムの追加…]をクリックして証拠を追加します。
※あるいは、ツールバーの「証拠の追加」アイコンをクリックして証拠を追加することもできます。
4,
「ソースの選択」ウィンドウが開きます。[イメージ ファイル]オプションを選択し、[次へ]をクリックします。
ddイメージを調べます。したがって、[イメージ ファイル]ラジオ ボタンを選択します。
5,
[参照]ボタンをクリックしてイメージ ファイルのパス ( C:\CHFI-Tools\Evidence Files\Forensic Images\Windows_Evidence_001.dd ) を指定し、[完了]をクリックします。
6,
証拠ファイル ( Windows_Evidence_001.dd ) が、メイン ウィンドウの左ペインの[証拠ツリー]セクションの下に表示されます。次のスクリーンショットに示すように、証拠ファイルとその内容を展開してツリー形式で表示します。
7,
証拠ツリーから任意のファイルまたはフォルダー (ここでは画像フォルダーを選択しました)を選択すると、右ペインの[ファイル リスト]の下にファイル リストが表示されます。
8,
AccessData FTK Imagerでは、ファイルまたはフォルダーの内容を表示するだけでなく、ファイルの 16 進値も表示できます。16 進値は、ファイルが削除されているか上書きされている場合でも、ファイルの生の正確な内容を判断するのに役立ちます。したがって、16 進値は、OS が通常アクセスできない情報を識別して取得するのに役立ちます。
ファイルの16進値を表示するには、ファイル リストからファイルを選択します (ここでは1200px-Peace_sign.svg.pngを選択しました) 。
9,
10,
左下のペインの[プロパティ]タブをクリックして、選択したファイルのファイル クラス、サイズ、日付、開始クラスターなどのプロパティを表示します。
11,
左下のペインの「Hex Value Interpreter」タブをクリックして、選択したファイルの符号付き整数、DOS 日付などのプロパティを表示します。
12,
このようにして、 AccessData FTK Imagerツールを使用してフォレンジック イメージ ファイルの内容を検査できます。
開いているウィンドウをすべて閉じます。