190

知識編3

● OSForensicsとは

　オーストラリアに拠点を置くPassMark社が2010年にOSForensics※1というツールを公開した。当時はベータ版ということもあり、機能追加や不具合報告などを積極的に受け付けるフェーズであったが、2011年10月に正式版（v1.0.1000）がリリースされた。正式版のリリースに伴いFreeとProの2エディションに分けられ、Pro版は有償（499ドル）であるが、Free版はいくつかの機能は制限されるものの個人利用であれば無償で使える。本稿ではOSForensicsのFree版を使って何ができるかを紹介する。　OSForensicsは簡単にいうとフォレンジック調査のための統合ツールである。フォレンジック調査では、調査対象に残っているデータから、いつ、何が起きていたかを導き出すが、OSForensicsではそのための支援機能が揃っている。例えば、テキ

スト・Hex・メタデータの各種ビューアー、履歴の検索、削除されたファイルの検索機能などがある。一つひとつの機能で見ると、別のフリーツールで同等もしくはそれ以上のことができるものもあるが、OSForensicsは1つのツールで各種機能をカバーしており、解析結果を記録したりまとめたりできる点が優れている。また、GUIベースでわかりやすく操作がしやすい。　まずはOSForensicsのインストール手順から確認し、機能のいくつかを実際に使ってみよう。

●インストールから起動まで

　OSForensics のインストールは特に迷うことはない。ダウンロードのページ※2で入手したexeファイルを実行するとインストールウイザードがはじまる。悩む選択肢もなく、Nextをクリックしていくだけでインストールは完了する。　ダウンロードページには、ハッシュセットとレインボーテーブルが用意されているのであわせてダウンロードしておこう。ハッシュセットは、デフォルトのシステムファイルなどの調査不要な既知ファイルやキーロガーなどの危険なファイルのハッシュ値の集まりであり、調査対象のファイル群の識別に役立つ。レインボーテーブルはパスワード候補文字列のハッシュ値の集まりであり、パスワード解析に有用だ。　いずれもzipファイル形式になっているため解凍し、ハッシュセットのファイル（拡張子OSFHashSet）はC:¥ProgramData¥PassMark¥OSForensics¥hash Setsフォルダーに、レインボーテーブルのファイル（拡

実践編3

このツール1つでいろいろな調査ができる

ファイル情報・履歴・ユーザー/パスワードデータなどを、統合的に調査できるフォレンジックツールがOSForensicsだ。非常に強力な機能を持っている。英語表記ではあるがGUIデザインが優れており操作も快適。インストールから使い方までを紹介する。

フォレンジック統合ツールOSForensics

文● kazamiya

無料とは思えないほどの多機能なソフト

OSForensics の公式サイト。本体ファイルだけでなくハッシュセット、レインボーテーブルもあわせて落としておこう

*1 http://www.osforensics.com/*2 http://www.osforensics.com/download.html

191

張子rt, rtc）は C:¥ProgramData¥PassMark¥OSForensics¥RainbowTablesフォルダーにコピーする。

● OSForensicsでできること

　OSForensicsを起動すると、はじめに「 Continue Using Free Version」と「Upgrade to Profession-al Version」を選択するウインドウが現れるので、

「 Continue Using Free Version」を選択する。画面左側にメニューがリスト表示されていて、いずれかのメニューを選択すると、右側にそのメニュー用の画面が表示される。各メニューの内容は表1

のとおりである。

　このようにメニューが豊富で紙幅の関係上すべては紹介しきれない。そこで、いくつかのメニューをピックアップして紹介する。なお、OSForensics の調査対象は基本的に接続されているドライブとなる。　当然自身の Cドライブを調べることもできるが、この場合状態は刻々と変化しているため、本格的に調査したい場合にはディスクイメージを作成してMount Drive Imageメニュー経由でマウントした方がよい。

OSForensics の起動画面。英語表記ではあるが、とてもわかりやすいユーザーインターフェイスとなっている

OSForensics の各機能については表を参照

表1　OSForensics の主なメニューメニュー名 内容

Manage Case ケースの作成、削除などの記録管理用File Name Search ファイル名やメタデータによる検索Create Index/Search Index インデックスの作成 / 検索Recent Activity ブラウザー、ファイルオープンなど各種履歴情報の収集Deleted Files Search 削除済みファイルの検索、復元Mismatch File Search 拡張子と内容が一致しないファイルの検索Memory Viewer 稼働中のメモリの解析やメモリダンプの作成Raw Disk Viewer ディスクを Rawレベルで参照Registry Viewer レジストリハイブファイルのビューアーFile System Browser Windows エクスプローラーに似たオリジナルのビューアーSQLite DB Browser SQLite データベースファイルのビューアー Web Browser Webコンテンツのエクスポート、キャプチャー用ブラウザーPasswords ブラウザー、Windows、ファイルなど各種パスワードの解析System Information 各種コマンドを実行して稼働中のマシンの情報を収集Verify / Create Hash ファイル、ディスク、文字列の各種ハッシュ値を生成Hash Sets ハッシュセットの作成、管理Create Signature / Compare Signature ファイルパス、サイズ、属性、構造をシグネチャ化して差分を比較Drive Preparation / Drive Imaging ディスクのエラーチェックとワイプ/イメージファイルの作成Drive Preparation 外付ディスクのエラーチェックとワイプCreate Drive Image ドライブ/ボリュームの RAWイメージ作成Mount Drive Image イメージファイルのマウント（OSFMount）Forensic Copy ファイル/ フォルダー単位のタイムスタンプを維持したコピーInstall to USB OSForensics を USBメモリにコピー（ポータブル用）

192

実践編3

　このメニューはそのまま訳すと「ファイル名検索」なので、たいしたことはなさそうだ、と思われるかもしれない。しかし実際に使ってみるとかなり高機能である。基本は Search String に探したいファイル名やパターンを入力してSearch を実行するのだが、あらかじめいくつかのパターンが用意されているPresets（プリセット）を活用するとよい。例えば Presets 項目で「Large Images （> 20KB）」を選択すると、大きめの画像ファイルだけを探す設定が適用される。これで Searchボタンを押すと結果が出てくる。　 最 初 は File List タ ブ が 選 択 さ れ て い る が、

Thumbnailsタブに移動すると画像やアイコンのサムネイルが表示される。気になるファイルは右クリックして View with Internal Viewerメニューを呼び出せば、OSForensics 内蔵のビューアーが起動して、Hex・テキスト・メタデータなどの専用ビューでより詳細に調べることができる。画像ファイルの Exif 情報はメタデータビューで確認できる。　他にもOfficeファイル、圧縮ファイル、音声ファイル、動画ファイル用のプリセットも用意されており、プリセットを活用するだけで素早くいろいろなファイルを探すことができる。

お目当てのファイルを探してくれる「File Name Search」

File Name Search の使い方

画像のデータを調査する

①プリセットを設 定して検索

①タブを選んでサムネイルビューに切り替える

③画像の撮影データが判明する

②ファイルを 選 んで右クリック→ View with Internal Viewerを選択

② 条 件 に 一 致 す るファイルの表示

ヒットしたファイル数

検索対象全ファイル数

名前、時間、サイズなどでソート

193

　File Name Search メニューの強力な機能をもう1つ紹介しておこう。インストール後にダウンロードしたハッシュセットを使ってハッシュ照合することができる。先にどのハッシュセットを使うか指定する必要があるので、Hash Setsメニューに行き、使いたいハッシュセットを選んで Make Active を実行する。これで現在有効なハッシュセットが黄色で表示される。　File Name Search メニューに 戻って、Search String の 項 目を 空 にして Search を実 行 するとStart Folderで指定した配下の全ファイルが表示される。ここで「 Ctrl + a」でファイルを全選択して右クリック→ Look up in Hash Setを実行すると、ハッシュセットに登録されているハッシュと一致するか判定処理を行う。途中アクセス権の影響でエラーが発生するかもしれないが、スキップして

継続すればよい。　判定が終わるとハッシュセットと合致したファイルがどれだけあったか報告される。File Name Searchメニューに戻ると、ファイルごとにハッシュセットに一致する ・しないを示すアイコンが追加される。　ここではOSインストール時に生成されるデフォルトのファイル群をハッシュセットに指定しているため、一致したファイルは調査する必要がないファイルである。これで大半のファイルは調査対象から除外できるので効率よく調査を進めることができる。

怪しいファイルだけピックアップ「Hash Set - File Name Search」

ハッシュセットの使い方

「Hash Sets」→「使いたいハッシュセット」（画面では Win 7 Ultimate(32bit)）を選び、「Make Active」をクリックして有効化

51560 ファイル中 31138 ファイルがハッシュセットと一致

File Name Search メニューに戻り、全ファイル表示」→「全選択」→「右クリック」→「Look up in Hash Set」を選択する

ハッシュ照合結果がアイコン表示される。禁止マーク付きアイコンがハッシュセットに一致しないファイル

● ●

● ●

❶ ❷

❸ ❹

194

実践編3

　Recent Activityメニューはいろいろな場所に保存されている履歴情報を一括で確認したい場合に使える。　自分自身のマシンを調べる場合は「Live Acqui-sition of Current Machine」が選択されているので、そのままScan をクリックするだけでよい。他のドライブを調べたい場合は「 Scan Drive」を選んでドライブを指定してからScan を実行する。実行が終わるとサマリーのウインドウが出てきて、どの項目で何件見つかったかという概要情報を表示する。使いこんでいるPC であれば数千〜数万件発見されるはずだ。結果は下の Sort By のリストボックスで Date（ desc）を選び、最近の時間から順に並べ替えるとわかりやすい。

　図ではHackerJapanのWebサイトにアクセス→ファイルをダウンロード→オープンまで操作した際の結果を表示しているが、以下の順に履歴が残っていることがわかる。① [12:58] ユ ー ザ ー win7 が Google Chromeで

Googleにアクセス（ChromeのCookieファイル）

② [12:58] Web サ イ ト「 http://www.byakuya-shobo.co.jp/hj」にアクセス（Chrome の履歴）

③ [12:59]「F:¥test¥hj1005p004_009_interview.zip」ファイルにエクスプローラーでアクセス

（IE/エクスプローラーの履歴）④ [13:00] Adobe Reader 10.0 を起動（UserAssist

レジストリキー）⑤ [13:00]「 F:¥test¥hj1005p004_009_interview

¥hj1005p004_009_interview.pdf」ファイルにアクセス/オープン（IE/エクスプローラーの履歴）

　このように複数の情報源から集めた情報を1つのビューに表示するため、挙動を追いやすい。　また、Timeline タブに移動すると時間軸をベースにしたヒストグラムが表示され、PC 上の履歴（=アクティビティ）を把握することができる。赤いエリアをクリックしていくと年、月、日、時間の単位でビューが切り替わっていき、右クリックしてShow these files を選ぶと、その時間帯に一致する情報に絞り込むことができる。Timeline タブは File Name Searchメニューにも用意されており、同じように絞り込みに使うことができる。

過去の動きを調査「Recent Activity」

履歴情報を一括で調べる

①対象を選択する

② Scan ボタンをクリック

直近

過去

❺

❹

❸

❷

❶

195

パスワード情報を調査「Password Recovery」

PC に保存されているパスワードを調べる①どの情報を手に入れるかタブか

ら選択②対象を選択（稼働中のマシンであ

れ ば Live Acquisition of Current Machine）

③ Retrieve Passwords ボタン をクリック

④ユーザー名・パスワードが判明する

　パスワード関連の処理は Password Recoveryメニューで実行する。当然のことながら悪用は厳禁であるため、自身の PC に対してのみ実行するなど、利用には注意してほしい。タブが複数あり、以下のことができる。・Find Browser Passwords：各種ブラウザーの自動保存機能で保存されているユーザー/パスワードを収集する・Windows Login Passwords：Windows のアカウント情報が保存されているレジストリを参照してアカウントとパスワードハッシュ値を収集する・Generate Rainbow Table：MD5、LM、SHA-1ハッシュのレインボーテーブルを作成する・Retrieve Password with Rainbow Table：レインボーテーブルを使ってパスワードを解析する・Decryption & Password Recovery：Office、PDF、ZIP/RARファイルのパスワードを解析する　Free 版では計算に利用できるのはシングルコアに制限されているため、速度的に不利な面は否めない。ここでは手軽な Find Browser PasswordsとDecryption & Password Recoveryを紹介する。　Find Browser Passwords はパスワードを失念してしまった場合に便利だ。複数のブラウザーに

対応しており、対象を選んでボタンを押すだけで結果が得られる。ただし、ブラウザーによってはユーザー/パスワードをWindows 側のアカウント情報を使って暗号化しているため、対象のアカウントでログインした状態でないと抽出できないことに注意してほしい。　Decryption & Password Recovery はパスワード保護されたファイルを解析する機能である。パスワード候補として辞書を設定したり、パスワードの文字数や判明している一部の文字を設定することもでき便利である。