デジタルフォレンジックツールには多くのカテゴリーがあるため、どこでどのように使いたいかによってツールの正確な選択が異なります。 ここでは、デジタルフォレンジックツールの傘下に入るさまざまな種類を知るために、いくつかの大まかなカテゴリーを紹介します。

• データベース・フォレンジック
• 電子メール分析
• オーディオ/ビデオ・フォレンジック
• インターネット閲覧分析
• ネットワーク・フォレンジック
• メモリ・フォレンジック
• デジタル・フォレンジックツールの大まかなカテゴリーは以下のとおりです。 フォレンジック
• ファイル分析
• ディスクとデータのキャプチャ
• コンピュータ・フォレンジック
• デジタル・イメージ・フォレンジック

これは完全なリストではありませんが。 これは、デジタル・フォレンジックのツールを構成するものと、それを使って何ができるかについてのイメージを与えるものです。

また、これらのカテゴリーは、スタッフのスキルセット、ラボの状況、機器の利用可能性、既存の法律、契約上の義務などによって、時に曖昧になることがあることに注意する必要があります。

しかし、このような違いに関わらず、重要なことは、デジタルフォレンジックツールは、調査中に情報を得るための膨大な可能性を提供するということです。

適切なツールの選択

多くの選択肢がある中で、自分のニーズに合った適切なツールを選択するのは容易ではありません。

スキル レベル

スキル レベルは、デジタル フォレンジック ツールを選択する際の重要な要素です。 基本的なスキルセットを必要とするツールもあれば、高度な知識を必要とするツールもあります。 経験則としては、自分が持っているスキルとツールが必要とするスキルを評価することで、操作する能力がある最も強力なツールを選択することができます。 生データだけを返すツールもあれば、技術者でなくてもすぐに共有できるような完全なレポートを出力するツールもあります。

コスト

言うまでもなく、ほとんどの部門では予算に制約があるため、コストは重要な要素です。 ここで注意しなければならない点があります。開発者がコストを抑えるために、最も安いツールが欲しい機能をすべて備えているとは限りません。

フォーカス

もうひとつの重要な点は、ツールのフォーカス領域です。 たとえば、データベースを検査するためのツールと、ネットワークを検査するために必要なツールはまったく異なります。 ベストプラクティスは、購入前に機能要件の完全なリストを作成することです。

追加の アクセサリー

ツールによっては、操作するために追加のアクセサリーを必要とする場合があり、これも考慮しなければなりません。 たとえば、ネットワーク フォレンジック ツールの中には、特定のハードウェアやソフトウェア起動可能なメディアを必要とするものがあります。

ここでは、デジタル・フォレンジック調査に役立つ最高の無料ツールを20個紹介します。 社内の人事案件、サーバーへの不正アクセスの調査、あるいは新しいスキルを身につけたい場合など、これらのスイートやユーティリティは、メモリのフォレンジック分析、ハードドライブのフォレンジック分析、フォレンジックイメージの探査、フォレンジックイメージング、モバイルフォレンジックの実施に役立ちます。

これは決して広範なリストではなく、調査に必要なものすべてを網羅しているわけではありません。

私が執筆した「Top 10 Free Troubleshooting Tools for SysAdmins」、「Top 20 Free Network Monitoring and Analysis Tools for Sys Admins」、「Top 20 Free File Management Tools for Sys Admins」の記事にも、デジタル フォレンジック調査に使用できるツールが多数含まれているので、役に立つかもしれません (e.g. BackTrack and Sys Admins)。

これらのツールのいくつかは以前に聞いたことがあるかもしれませんが、このリストの中から1つか2つの逸品を見つけることができると確信しています。

01 SANS SIFT

SANS Investigative Forensic Toolkit (SIFT) は、Ubuntu ベースのライブ CD で、詳細なフォレンジック調査やインシデント レスポンス調査を行うために必要なすべてのツールが含まれています。 SIFTは、Expert Witness Format (E01)、Advanced Forensic Format (AFF)、およびRAW (dd) 証拠フォーマットの分析をサポートしています。 SIFTには、システムログからタイムラインを生成するlog2timeline、データファイルを切り分けるScalpel、ごみ箱を調査するRifiutiなどのツールが含まれています。

SIFT 環境を初めて起動したときには、どのようなツールがあり、どのように使用するかに慣れるために、デスクトップ上のドキュメントを調べることをお勧めします。 また、システムのどこに証拠品があるかについての説明も充実しています。

主要な機能

• 64 ビットのベース システム
• Auto-DFIR パッケージの更新とカスタマイズ
• Linux および Windows との相互互換性。
• 拡張されたファイルシステムのサポート
• スタンドアロンシステムのインストールオプション

02 CrowdStrike CrowdResponse

CrowdResponseは軽量のコンソールアプリケーションで、インシデントレスポンスのシナリオの一部として、プロセスリスト、スケジュールされたタスク、またはShim Cacheなどのコンテキスト情報を収集するために使用することができます。

CrowdsResponse を実行するには、ZIP ファイルを解凍し、管理者権限でコマンド プロンプトを起動します。 CrowdResponse*.exeプロセスが存在するフォルダに移動し、コマンドパラメータを入力します。 最低限、出力パスとデータ収集に使用する「ツール」を入力する必要があります。

必要なデータをエクスポートしたら、CRconvert.exeを使ってXMLからCSVやHTMLなどの他のファイル形式に変換することができます。

主な機能

• ディレクトリ・リスト作成モジュール、アクティブ・ランニング・モジュール、YARA処理モジュールの3つのモジュールが付属しています。
• アプリケーションのリソース情報を表示する
• プロセス実行ファイルのデジタル署名を検証する
• 現在実行中のすべてのプロセスのメモリ、ロードされたモジュールファイル、およびディスク上のファイルをスキャンする

03 Volatility

Volatilityは、インシデントレスポンスやマルウェア分析のためのメモリフォレンジックフレームワークで、揮発性メモリ（RAM）ダンプからデジタルアーティファクトを抽出することができます。 Volatilityを使用すると、実行中のプロセス、開いているネットワークソケットやネットワーク接続、各プロセスでロードされたDLL、キャッシュされたレジストリハイブ、プロセスIDなどの情報を抽出することができます。

VolatilityのスタンドアロンWindows実行版を使用している場合は、単にvolatility-2.x.standalone.exeをフォルダに入れ、コマンドプロンプトウィンドウを開きます。 コマンドプロンプトから、実行ファイルの場所に移動し、「volatility-2.x.standalone.exe」と入力します。exe -f <FILENAME> -profile=<PROFILENAME><PLUGINNAME>” 引用符なし – FILENAMEには解析したいメモリダンプファイルの名前を指定します。 PROFILENAMEにはメモリ ダンプが実行されたマシン、PLUGINNAMEには情報を抽出するために使用するプラグインの名前が入ります。

注: 上記の例では、物理メモリ ダンプから TCP 接続情報を検索するために、「connscan」プラグインを使用しています。

その拡張可能でスクリプト可能な API は、拡張と革新のための新しい可能性を開きます。

04 Sleuth Kit (+Autopsy)

Sleuth Kit は、さまざまなファイル システムの詳細な分析を実行するために使用できる、オープン ソースのデジタル フォレンジック ツールキットです。 Autopsy は基本的に Sleuth Kit の上に置かれた GUI です。 Autopsyには、タイムライン解析、ハッシュフィルタリング、ファイルシステム解析、キーワード検索などの機能が搭載されており、他のモジュールを追加することで機能を拡張することができます。

注意: Linux を使用している場合は The Sleuth Kit を、Windows を使用している場合は Autopsy を使用することができます。

Autopsy を起動すると、新しいケースを作成するか、既存のケースを読み込むかを選択できます。 新しいケースの作成を選択した場合、分析を開始するためにフォレンジックイメージまたはローカルディスクを読み込む必要があります。

主要な機能

• グラフィカルなインターフェイスを介してシステム イベントを表示します
• レジストリ、LNK ファイル、および電子メールの分析を提供します。
• ほとんどの一般的なファイル形式をサポートしています
• SMS、通話記録、連絡先、Tango、Words with Friends からデータを抽出して分析します

05 FTK Imager

FTK Imager は、データ プレビューおよびイメージング ツールで、ローカル ハード ドライブ、ネットワーク ドライブ、CD/DVD 上のファイルおよびフォルダーを調べたり、フォレンジック イメージやメモリ ダンプのコンテンツを確認したりすることができます。 また、FTK イメージャーを使用すると、ファイルの SHA1 または MD5 ハッシュの作成、フォレンジック イメージからのファイルおよびフォルダのディスクへのエクスポート、ごみ箱から削除されたファイルの確認と復元 (データ ブロックが上書きされていないことが条件)、フォレンジック イメージをマウントして Windows エクスプローラーでコンテンツを表示することができます。

注: FTK イメージャーにはポータブル版があり、USB ディスクから実行することができます。

FTK イメージャーを起動したら、「ファイル > Add Evidence Item…」に移動して、レビュー用の証拠品を読み込みます。 フォレンジック イメージを作成するには、「File > Create Disk Image…」に進み、フォレンジック イメージを作成したいソースを選択します。

主な機能

• ファイル/フォルダーとその中のコンテンツをプレビューするデータ プレビュー機能を備えています。
• 画像のマウントをサポートする
• マルチコア CPU を使用して動作を並列化する
• 共有ケース データベースにアクセスするので、1 つのケースには 1 つのセントラル データベースで十分です

06 Linux ‘dd’

dd は、現在利用可能なほとんどの Linux ディストリビューション (Ubuntu、Fedora など) にデフォルトで搭載されています。 このツールは、フォレンジックにドライブを消去したり (ドライブをゼロにする)、ドライブの raw イメージを作成するなど、さまざまなデジタル フォレンジック タスクに使用できます。

注意: dd は非常に強力なツールで、注意して使用しないと壊滅的な影響を与える可能性があります。 このツールを実世界で使用する前に、安全な環境で実験することをお勧めします。

ヒント。 修正版の dd は、http://sourceforge.net/projects/dc3dd/ – dc3dd には、デジタル フォレンジック取得タスクのために特別に追加された機能が含まれています。

dd を使用するには、ターミナル ウィンドウを開き、dd と入力し、その後にコマンド パラメーターを入力します (どのコマンド パラメーターを使用するかは、何をしたいかによって明らかに異なります)。

dd if=/dev/zero of=/dev/sdb1 bs=1024
ここで if = 入力ファイル, of = 出力ファイル, bs = バイトサイズ

注: /dev/sdb1 は、フォレンジックワイプしたいドライブのドライブ名に、1024 は書き出したいバイトブロックのサイズに置き換えてください。

ドライブのフォレンジック イメージを作成するための基本的な dd 構文は次のとおりです:

dd if=/dev/sdb1 of=/home/andrew/newimage.dd bs=512 conv=noerror,sync

ここで if = 入力ファイル (この場合はドライブ), of = 出力ファイル, bs = バイト サイズ, conv = 変換オプション

ヒント。

主な機能

• ファイル、デバイス、パーティション、ボリューム間でデータを重複させることができます。
• データを簡単に変更することができます
• ディスクを完全に消去することができるので、注意して使用する必要があります

07 CAINE

CAINE (Computer Aided INvestigative Environment) は、豊富なデジタル フォレンジック ツールを搭載した Linux Live CD です。 ユーザーフレンドリーなGUI、半自動のレポート作成、モバイルフォレンジック、ネットワークフォレンジック、データリカバリーなどのツールを搭載しています。

CAINE Linux環境を起動すると、CAINEインターフェース（デスクトップ上のショートカット）から、またはアプリケーションメニューバーの「Forensic Tools」フォルダ内の各ツールのショートカットから、デジタルフォレンジックツールを起動することができます。

主な機能

• 多くのオープン ソース フォレンジック ツールをまとめたユーザー フレンドリーなインターフェイスを備えています
• イタリアの法律で定められた調査手順に準拠しています。
• その環境は、詳細なフォレンジック分析のために最適化されています
• 容易に編集およびエクスポート可能なレポートを生成します

08 ExifTool

ExifToolは、ファイルのメタデータ情報を読み書きまたは編集するために使用されるコマンドラインアプリケーションです。 高速でパワフルであり、広範囲のファイル形式をサポートしています (ただし、画像ファイル形式は得意分野です)。

ExifTool を使用するには、メタデータを抽出したいファイルを exiftool(-k).exe アプリケーションにドラッグ アンド ドロップするだけで、情報が表示されたコマンド プロンプト ウィンドウが開きます。 または、exiftool(-k).exe を exiftool.exe にリネームして、コマンド プロンプトから実行することもできます。

主な機能

• 異なるファイル形式、冗長出力、および HTML ベースの 16 進ダンプ出力をサポートします。
• ファイル間のメタデータ情報をコピーする
• 元のイメージを自動的にバックアップする
• 多くの言語での出力を変換する

09 Free Hex Editor Neo

Free Hex Editor Neo は、非常に大きなファイルを扱うように設計された基本的な 16 進数エディタです。 多くの追加機能は Hex Editor Neo の製品版にありますが、私はこのツールが大規模なファイル (データベース ファイルやフォレンジック イメージなど) を読み込み、手動でのデータの切り分け、低レベルのファイル編集、情報収集、または隠されたデータの検索などのアクションを実行するのに便利だと思います。

「ファイル > 開く」を使用して、ファイルを Hex Editor Neo に読み込みます。

主な機能

• 大きなファイルの中からデータ パターンを簡単に見つけることができます
• 複数のコア処理をサポートしています
• ファイル間の正規表現検索を処理します
• ファイルのパッチをすばやく作成したり、ユーザー インターフェイスの任意の側面を調整することができます。

10 Bulk Extractor

bulk_extractor はコンピュータ フォレンジック ツールで、ディスク イメージ、ファイル、またはファイルのディレクトリをスキャンして、クレジットカード番号、ドメイン、電子メール アドレス、URL、および ZIP ファイルなどの情報を抽出します。

ヒント: 出力されたテキスト ファイルの中には、クレジットカード番号、電子メール アドレス、ドメイン名などに似たデータのエントリがあります。 また、テキスト ファイルの最初の列に 10 進数の値が表示されます。これを 16 進数に変換すると、エントリが見つかったディスク上のポインタとして使用できます (つまり、ディスクを手動で分析している場合は、ディスク上のポインタを見つけることができます)。

Bulk_extractor は、コマンド ライン ツールまたは GUI ツールとして提供されています。 上の例では、以前撮影したフォレンジック画像から情報を抽出し、その結果を「BE_Output」というフォルダに出力するようにバルクエクストラクタツールを設定しました。

主な機能

• ディスクのさまざまな部分を並行して処理します。
• 圧縮されたデータを自動的に検出し、解凍し、再処理します。
• デジタル データからクレジットカード情報や電子メール アドレスなどの重要な情報を抽出します。
• ほとんどのデジタル メディアの情報を処理するために使用できます。

11 DEFT

DEFT は、最も人気のあるフリーおよびオープン ソースのコンピューター フォレンジック ツールをバンドルした別の Linux Live CD です。 インシデント・レスポンス、サイバー・インテリジェンス、コンピュータ・フォレンジックのシナリオを支援することを目的としています。

DEFT を使用して起動すると、ライブ環境をロードするか、DEFT をディスクにインストールするかを尋ねられます。

主な機能

• ディスク マウントの状態を表示するファイル マネージャが含まれています。
• Android および iOS の完全なサポートを提供します。
• セーフモードでプログラムを起動する前に整合性チェックが実行されます。

12 Xplico

Xplicoはオープンソースのネットワークフォレンジック分析ツール（NFAT）で、インターネットトラフィックからアプリケーションデータを抽出することを目的としています（例：XplicoはPOP、IMAP、SMTPトラフィックから電子メールメッセージを抽出することができます）。 特徴としては、様々なプロトコル（HTTP、SIP、IMAP、TCP、UDPなど）への対応、TCPの再構築、MySQLやSQLiteなどのデータベースへの出力機能などがあります。

Xplicoをインストールしたら、http://<IPADDRESS>:9876に移動し、通常のユーザーアカウントでログインして、ウェブインターフェイスにアクセスします。 まず、ケースを作成し、新しいセッションを追加する必要があります。 新しいセッションを作成する際には、（例えばWiresharkから取得した）PCAPファイルを読み込むか、ライブキャプチャーを開始します。

主要な機能

• データ入力用の入力モジュール、データをデコードしてエンドユーザーに提示するための出力モジュール、そして個々のネットワーク プロトコルをデコードするためのデコード モジュールの 3 つのモジュールが付属しています。
• さまざまなユーザー インターフェイスをサポートしています。
• すべてのモジュールは、構成ファイルを通じてロードまたはアンロードできます。
• VoIP コールをデコードできます。

13 LastActivityView

LastActivityView については、「Top 10 Free System Troubleshooting Tools for SysAdmins」の記事で NirSoft のツール スイートを紹介する際に簡単に触れました。 LastActivityViewは、ユーザーがどのような行動をとったか、マシン上でどのようなイベントが発生したかを表示することができます。 実行ファイルの実行、エクスプローラーからのファイル/フォルダーのオープン、アプリケーションやシステムのクラッシュ、ユーザーによるソフトウェアのインストールの実行など、あらゆるアクティビティが記録されます。 情報はCSV / XML / HTMLファイルにエクスポートできます。

LastActivityView を起動すると、実行されているマシンで実行されたアクションのリストの表示がすぐに始まります。

主な機能

• ファイルの開閉やソフトウェアのインストールなど、多くのユーザー アクションを記録します。
• イベント ログやその他のソースから情報を収集します。
• Windows 200 以降のバージョンでのみ動作します。

14 DSi USB Write Blocker

DSi USB Write Blocker は、USB デバイスへの書き込みアクセスを防止するソフトウェア ベースの書き込みブロッカーです。

DSi USB Write Blocker を実行すると、USB Write Blocker を有効または無効にするためのウィンドウが表示されます。 変更してアプリケーションを終了すると、タスクバーの南京錠のアイコンから状態を確認することができます。

コマンドラインでの代替手段を探している場合は、「USB Write Blocker for ALL Windows」をチェックしてみてください。 このツールは、レジストリエントリを更新することで、USBドライブが書き込まれるのを防ぎます。

主な機能

• USB メモリを読み取り可能なモードに変換して、データの削除や変更を防止します。
• タスクバーにこのアプリケーションのステータスを表示するオプションを提供します。

15 FireEye RedLine

RedLineは、特定のホストのメモリとファイルの分析を実行する機能を提供します。 実行中のプロセスやドライバーに関する情報をメモリから収集し、ファイル システムのメタデータ、レジストリ データ、イベント ログ、ネットワーク情報、サービス、タスク、インターネットの履歴を収集して、全体的な脅威評価プロファイルの構築に役立てます。

RedLine を起動すると、[データの収集] または [データの分析] を選択する画面が表示されます。 すでにメモリ・ダンプ・ファイルが用意されている場合を除き、マシンからデータを収集するためのコレクターを作成し、そのプロセスを完了まで実行する必要があります。

主要な機能

• 危殆化したファイルがいつ導入され、システム/ネットワーク内でどのように持続するかを特定するのに役立ちます。
• ホワイトリスト インジケータを使用して既知のデータを除外します。

16 PlainSight

PlainSight は Knoppix (Linux ディストリビューション) をベースにしたライブ CD で、インターネット履歴の閲覧、データ カービング、USB デバイスの使用情報収集、物理メモリ ダンプの調査、パスワード ハッシュの抽出など、デジタル フォレンジック タスクを実行することができます。

PlainSight を起動すると、スキャンを実行するか、ファイルを読み込むか、またはウィザードを実行するかを選択するウィンドウがポップアップ表示されます。

主な機能

• jpg、png、pdf、mov、wav、zip、rar、exe などの多くのファイル タイプを復元します。
• スパイダーを使用して、機密データを含むシステムをスキャンします。
• 結果をHTMLまたはプレーンテキスト形式で保存します。
• CDまたはUSBから起動します。

17 HxD

HxDは私の個人的なお気に入りの1つです。 これは、生のディスクやメインメモリ(RAM)の低レベルの編集や修正を行うことができる、ユーザーフレンドリーな16進数エディタです。 HxDは、使いやすさとパフォーマンスを考慮して設計されており、大きなファイルも問題なく扱うことができます。 機能としては、検索や置換、エクスポート、チェックサム/ダイジェスト、内蔵のファイルシュレッダー、ファイルの連結や分割、統計情報の生成などがあります。

HxDのインターフェースから、「File > Open」からファイルを開いて分析を開始します。 Extras > Open disk…」からディスクをロードしたり、「Extras > Open RAM…」から RAM プロセスをロードしたりすることができます。

注意: 必要な HELIX3 のバージョンは 2009R1 です。 このバージョンは、HELIXが商用ベンダーに買収される前の最後の無料版です。

HELIX3を使って起動すると、GUI環境をロードするか、HELIX3をディスクにインストールするかを尋ねられます。

主な機能

• データ フォールドは異なるメモリ セクションをタグ付けするために使用されます。
• RAM エディターが付属しています
• データをさまざまな形式でエクスポートできます
• ファイルを簡単に分割または連結できます

19 Paladin Forensic Suite

Paladin Forensic Suite は Ubuntu ベースの Live CD で、豊富なオープン ソースのフォレンジック ツールが詰め込まれています。

Paladin Forensic Suite を起動したら、アプリ メニューに移動するか、タスク バーにあるアイコンのいずれかをクリックして、作業を開始します。

注: Paladin Forensic Suite の便利なクイック スタート ガイドは、Paladin の Web サイトおよび Paladin 本体のタスク バーから表示またはダウンロードできます。

主な機能

• ネットワークの完全な可視性を提供する
• インターネット履歴やメモリなどの一時的なデータを取得し、USB ドライブに保存する
• Mac、Windows、および Linux で動作します。
• 多くのオープン ソース フォレンジック アプリケーションをサポートしています。

20 USB Historian

USB Historian は、主に Windows レジストリからの USB 情報を解析し、マシンに接続されていたすべての USB ドライブのリストを提供します。 USBドライブの名前、シリアル番号、マウントされた時期、どのユーザーアカウントによってマウントされたかなどの情報が表示されます。

USB Historian を起動したら、トップ メニューの「+」アイコンをクリックして、データ解析ウィザードを起動します。 どの方法でデータを解析するか (ドライブレター、Windows とユーザーのフォルダ、または個々のハイブ/ファイル) を選択し、解析するそれぞれのデータを選択します。

主な機能

• データや個人情報の盗難に対処する人に最適です
• コンピュータ名を解析してUSBデバイスを見つけます
• ウィザードによる分析を提供します

以上がフォレンジックに使用できるトップの無料ツールの一部です。