[FAQトップ] [EnCase FAQ] [全般 FAQ] [その他] [Ji2 Home][Forensics]

文書番号：EFA_P_007 

最終更新日：2010/08/12 

質問：

回答：

File Finder モジュールを利用すると、指定したヘッダパターン位置から、指定したサイズ分のデータをファイルとして個別に保存することができます。

例えば JPEG 画像ファイルのヘッダパターン（\xFF\xD8\xFF) を定義し、ヘッダを発見した位置から（フッタは無視して）１メガ分の領域をファイルとして保存することが可能です。

この方法は、オープンソースのファイルリカバリツールである Foremost と同様の動作を EnCase 上でも行いたいケースなどで利用できます。
※File FinderモジュールはデフォルトでJPEG画像ヘッダのパターン定義が登録されていますので、通常は新たにヘッダパターンを登録する必要はありません。

File Finder の設定画面には「Override default footer analysis 」というオプションが用意されています。このオプションをチェックした場合には、フッタパターンによる解析が行なわれず、Export Options で指定したファイルサイズ分のデータが、指定したフォルダにエクスポートされます。

Export Options のタブでは、ヘッダパターンを発見した場合に、ディスクへ個別ファイルとして出力（保存）する際のファイルサイズを指定しておきます。

下図は上記設定に従い、ヘッダパターン位置から 1,024バイト分がエクスポートされた結果画面です。

フッタが利用できるケースでは、この方法を利用せずに、フッタを利用したファイルのリカバリを行なう方が、ノイズをより少なくすることが可能です。

関連URL：

・Foremost http://foremost.sourceforge.net/

本文書（Forensics FAQ）に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。株式会社Ji2は、市場性および特定の目的への適合性を含めて明示的にも黙示的にも一切の保証をいたしません。株式会社Ji2は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。株式会社Ji2及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責 条項の範囲を狭めるものではありません。株式会社Ji2は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合があります。

Copyright (C) 2010 Ji2.Inc. All Rights Reserved.