Communications of the ACM, Volume 49, Issue 2(February 2006)
SPECIAL ISSUE: Next-generation cyber forensics
http://portal.acm.org/toc.cfm?id=1113034&coll=portal&dl=ACM&type=issue&idx=J79&part=periodical&WantType=periodical&title=Communications%20of%20the%20ACM&CFID=505754515&CFTOKEN=505754515
※始めに、最後に紹介する特定非営利活動法人デジタル・フォレンジック研究会:
"「デジタル・フォレンジックコミュニティ2005」配布講演レジュメ" の
http://www.digitalforensic.jp/Resume2005_01.html
(3)"警察における情報解析技術の現状と課題"
に目を通した方が解りやすいかもしれません。
ストレージ・ファイルシステム関係を紹介します:
"Standardizing digital evidence storage",
The Common Digital Evidence Storage Format Working Group
http://portal.acm.org/citation.cfm?id=1113034.1113071&coll=portal&dl=ACM&idx=1113034&part=periodical&WantType=periodical&title=Communications%20of%20the%20ACM&CFID=505754515&CFTOKEN=505754515
Common Digital Evidence Storage Format,
Digital Forensic Research Workshop (DFRWS) Technical Working Groups
http://www.dfrws.org/CDESF/
貴重で膨大・他種類にわたるデジタルデータ管理のためのフォーマット策定
"AFF: a new format for storing hard drive images",
Simson L. Garfinkel, Harvard University, Cambridge, MA and Sandstorm Enterprises.
http://portal.acm.org/citation.cfm?id=1113034.1113076&coll=portal&dl=ACM&idx=1113034&part=periodical&WantType=periodical&title=Communications%20of%20the%20ACM&CFID=63793532&CFTOKEN=17381912
AFFに関しては、Garfinkel博士がサイトを立ち上げています (ソースコード公開):
AFF™ is the Advanced Forensic Format.:
http://www.afflib.org/
AFFの特徴はデータ (image) とメタデータが一緒に格納されていることです (と言うことは・・・)。
How AFF Works:
http://www.afflib.org/aff_works.htm
AFF Segments
"AFF Segments are used to store all information inside the AFF File.
This includes the image itself and image metadata.
Segments can be between 32 bytes and 2³²-1 bytes long. When used to store
the contents of a disk image, the image is broken up into a number of equal-sized
Image Segments. These image segments are then optionally compressed and stored
sequentially in the AFF file."
次の紹介の方がまとまっています:
"Announcing: Advanced Forensics Format 1.0", Simson Garfinkel, Sep 19 2005
http://www.securityfocus.com/archive/104/411012/30/0/threaded
"I have successfully used the AFF image conversion program to convert my 172 gigabyte
corpus of disk images so that it now fits in 44 gigabytes. My forensic data extraction
programs can extract information from thesecompressed images faster than from
the original raw files, because the overhead for decompressing the images is actually
less than the time required to read the raw files. (CPUs are faster than disks,
at least in my case.)" だそうです。
Simson L. Garfinkel博士の blog:
http://www.simson.net/blog/
米国では、科学捜査向け de factoシステムとして、EnCase Forensicが発売されています:
EnCase Forensic:
http://www.guidancesoftware.com/lawenforcement/ef_index.asp
* Deeper e-mail analysis
* New “linen” (Linux for EnCase) for bootable forensic CDs
* An enhanced acquisition engine
* More robust digital evidence administration
* Creation of “Logical evidence files”
Forensics Wiki: (参考文献等へのリンクがあります)
http://www.forensicswiki.org/index.php/Main_Page
ここでは、
"File System Forensic Analysis",
Brian Carrier, Addison Wesley Professional,
Published: Mar 17, 2005, ISBN: 0321268172.
http://www.awprofessional.com/bookstore/product.asp?isbn=0321268172&rl=1
を勧めています(とっても中身は濃そうです。日本のアマゾンでも扱ってます)。
筆者の Brian Carrier氏の Webページ (ここはお勧め):
http://www.digital-evidence.org/index.html
米国には、
"Graduate Certificate in Computer Forensics (GCCF)"
National Center for Forensic Science
http://ncfs.ucf.edu/home.html
という大学院レベルの教育コースまで設置されているのですね。
日本にも
特定非営利活動法人デジタル・フォレンジック研究会:
http://www.digitalforensic.jp/
がありました。
「デジタル・フォレンジックコミュニティ2005」配布講演レジュメ:
http://www.digitalforensic.jp/Resume2005_01.html
は日本の現状を知るには良さそうです。
関連エントリー:
EU:通信データ保存規則の承認 [05/12/15], 2006-01-07
StorageSS(Security, Survivability) 2005 [05/09/17], 2006-01-07
Federal Guideline for Implementing Cryptography, 2006-01-20
NSAレポート:Word ⇒ PDF変換の注意点 [06/01/25], 2006-01-25
[06/02/08]
Open Source Forensic Tools:
http://www.opensourceforensics.org/tools/index.html
Windows、Unix用にそれぞれ分類されています:
Bootable Environments
Data Acquisition / IR Tools
Media Management Analysis Tools
File System Analysis Tools
Application Analysis Tools
Network Analysis Tools
システム管理用としても便利そうなオープンソフトウェアも紹介されています。
TUCOFS - The Ultimate Collection of Forensic Software:
http://www.tucofs.com/tucofs.htm
セキュリティソフトウェアを含めた膨大なリンク集です
Knoppix STD (Security Tools Distribution)
http://www.knoppix-std.org/index.html
オープンソースのセキュリティツールを収めた Knoppix
ただし、Knoppix-STD FAQにありますが:
"STD is NOT about Linux it is about security tools (i.e. STD uses Linux as a means to an end)."
SPECIAL ISSUE: Next-generation cyber forensics
http://portal.acm.org/toc.cfm?id=1113034&coll=portal&dl=ACM&type=issue&idx=J79&part=periodical&WantType=periodical&title=Communications%20of%20the%20ACM&CFID=505754515&CFTOKEN=505754515
※始めに、最後に紹介する特定非営利活動法人デジタル・フォレンジック研究会:
"「デジタル・フォレンジックコミュニティ2005」配布講演レジュメ" の
http://www.digitalforensic.jp/Resume2005_01.html
(3)"警察における情報解析技術の現状と課題"
に目を通した方が解りやすいかもしれません。
ストレージ・ファイルシステム関係を紹介します:
"Standardizing digital evidence storage",
The Common Digital Evidence Storage Format Working Group
http://portal.acm.org/citation.cfm?id=1113034.1113071&coll=portal&dl=ACM&idx=1113034&part=periodical&WantType=periodical&title=Communications%20of%20the%20ACM&CFID=505754515&CFTOKEN=505754515
Common Digital Evidence Storage Format,
Digital Forensic Research Workshop (DFRWS) Technical Working Groups
http://www.dfrws.org/CDESF/
貴重で膨大・他種類にわたるデジタルデータ管理のためのフォーマット策定
"AFF: a new format for storing hard drive images",
Simson L. Garfinkel, Harvard University, Cambridge, MA and Sandstorm Enterprises.
http://portal.acm.org/citation.cfm?id=1113034.1113076&coll=portal&dl=ACM&idx=1113034&part=periodical&WantType=periodical&title=Communications%20of%20the%20ACM&CFID=63793532&CFTOKEN=17381912
AFFに関しては、Garfinkel博士がサイトを立ち上げています (ソースコード公開):
AFF™ is the Advanced Forensic Format.:
http://www.afflib.org/
AFFの特徴はデータ (image) とメタデータが一緒に格納されていることです (と言うことは・・・)。
How AFF Works:
http://www.afflib.org/aff_works.htm
AFF Segments
"AFF Segments are used to store all information inside the AFF File.
This includes the image itself and image metadata.
Segments can be between 32 bytes and 2³²-1 bytes long. When used to store
the contents of a disk image, the image is broken up into a number of equal-sized
Image Segments. These image segments are then optionally compressed and stored
sequentially in the AFF file."
次の紹介の方がまとまっています:
"Announcing: Advanced Forensics Format 1.0", Simson Garfinkel, Sep 19 2005
http://www.securityfocus.com/archive/104/411012/30/0/threaded
"I have successfully used the AFF image conversion program to convert my 172 gigabyte
corpus of disk images so that it now fits in 44 gigabytes. My forensic data extraction
programs can extract information from thesecompressed images faster than from
the original raw files, because the overhead for decompressing the images is actually
less than the time required to read the raw files. (CPUs are faster than disks,
at least in my case.)" だそうです。
Simson L. Garfinkel博士の blog:
http://www.simson.net/blog/
米国では、科学捜査向け de factoシステムとして、EnCase Forensicが発売されています:
EnCase Forensic:
http://www.guidancesoftware.com/lawenforcement/ef_index.asp
* Deeper e-mail analysis
* New “linen” (Linux for EnCase) for bootable forensic CDs
* An enhanced acquisition engine
* More robust digital evidence administration
* Creation of “Logical evidence files”
Forensics Wiki: (参考文献等へのリンクがあります)
http://www.forensicswiki.org/index.php/Main_Page
ここでは、
"File System Forensic Analysis",
Brian Carrier, Addison Wesley Professional,
Published: Mar 17, 2005, ISBN: 0321268172.
http://www.awprofessional.com/bookstore/product.asp?isbn=0321268172&rl=1
を勧めています(とっても中身は濃そうです。日本のアマゾンでも扱ってます)。
筆者の Brian Carrier氏の Webページ (ここはお勧め):
http://www.digital-evidence.org/index.html
米国には、
"Graduate Certificate in Computer Forensics (GCCF)"
National Center for Forensic Science
http://ncfs.ucf.edu/home.html
という大学院レベルの教育コースまで設置されているのですね。
日本にも
特定非営利活動法人デジタル・フォレンジック研究会:
http://www.digitalforensic.jp/
がありました。
「デジタル・フォレンジックコミュニティ2005」配布講演レジュメ:
http://www.digitalforensic.jp/Resume2005_01.html
は日本の現状を知るには良さそうです。
関連エントリー:
EU:通信データ保存規則の承認 [05/12/15], 2006-01-07
StorageSS(Security, Survivability) 2005 [05/09/17], 2006-01-07
Federal Guideline for Implementing Cryptography, 2006-01-20
NSAレポート:Word ⇒ PDF変換の注意点 [06/01/25], 2006-01-25
[06/02/08]
Open Source Forensic Tools:
http://www.opensourceforensics.org/tools/index.html
Windows、Unix用にそれぞれ分類されています:
Bootable Environments
Data Acquisition / IR Tools
Media Management Analysis Tools
File System Analysis Tools
Application Analysis Tools
Network Analysis Tools
システム管理用としても便利そうなオープンソフトウェアも紹介されています。
TUCOFS - The Ultimate Collection of Forensic Software:
http://www.tucofs.com/tucofs.htm
セキュリティソフトウェアを含めた膨大なリンク集です
Knoppix STD (Security Tools Distribution)
http://www.knoppix-std.org/index.html
オープンソースのセキュリティツールを収めた Knoppix
ただし、Knoppix-STD FAQにありますが:
"STD is NOT about Linux it is about security tools (i.e. STD uses Linux as a means to an end)."