FCNS_INDX

FCNS_INDXはNTFSのINDXレコード($INDEX_ALLOCATION属性)をカービングおよびパースするEnScriptです。

使い方

Caseを作成もしくはオープン後、調査対象を追加してから実行します。メニュー/オプションの内容は以下の通りです。

• Target: パース/カービング対象のファイル/オブジェクトの選択
  • Selected: ブルーチェックしたファイル/オブジェクト
  • Other: Folder, $LogFile, pagefile.sys, Unallocated Clusters, VSS: チェックボックスで対象を選択
• Filtering Option: パース/カービング時の挙動調節
  • Parse only unused area for current folder: 対象が既存フォルダの際には未使用領域内のエントリのみをパース(カービングはレコード全体)
  • Skip duplication entries (slow if it found many entries): エントリ単位の重複を除外 (多数のエントリ検出時は処理が遅くなります)
  • Search only starting position of each sector: 各セクタの先頭からはじまるINDXパターンのみを探索
• Export: パース/カービング結果の出力場所を指定
  • LEF File: カービングしたデータをLEFとして出力する場所/ファイル名を指定
  • TSV File: カービングしたデータに関するメタデータの出力場所/ファイル名を指定

ダウンロード

FCNS_INDX_0.9.EnPack (SHA1: 8b34739aed3bf62118a1482e8f70f367fda52a03)

ライセンス

個人、商用を問わず自由に利用することができますが、本ツールの利用により生じた問題については責任を負いかねます。

EnPack形式で公開していますがEnScript形式をご希望の方はお問合せください。

動作環境

EnCase 7.x

背景

INDX アーティファクト(1)とINDX アーティファクト(2)を参照してください。

特徴

未使用領域内に残っているエントリの探索やパース方法はfteと原則同じです。TargetやFiltering Optionを適切に選択することにより、作業効率およびパースする情報精度の向上が見込めます。

TSV Fileに指定したファイルにはカービングしたプリフェッチファイルのパース結果を記録します。

crtime, mtime, ctime, atimeはEvidenceやVolumeに設定したタイムゾーンにあわせて日時情報を出力しています。