昨日の分科会にも参加したのでメモ。

デジタル・フォレンジック研究会 - 技術　分科会　（第５期　第３回）

開催日時：９月２５日（木）　１９：００〜２１：００
　題目：「ProDiscoverのご紹介」
　総合司会：萩原 栄幸 氏（IDF技術分科会主査／IDF理事）
　講師：芝 啓真 氏（株式会社フォーカスシステムズ／IDF技術分科会幹事）
　開催場所：東京都南部労政会館　第３会議室

■ご講演内容　　　
　フォレンジックツール“ProDiscover”の基本的な機能及び特徴的な機能についてご説明します。

（１）ProDiscover基本機能のご紹介
　　　新規プロジェクトの開始
　　　イメージの取得
　　　イメージ／ディスクの追加
　　　画面紹介
　　　基本機能紹介

（２）ProDiscoverの特徴的な機能のご紹介
　　　リモートエージェント機能
　　　リモートシステムのプロセス調査
　　　ハッシュベースラインの作成／比較
　　　表示されないファイル／プロセスの検出 (特許出願中)
　　　IPポートの調査
　　　既知のトロイの木馬／ルートキットのハッシュ比較
　　　メモリイメージの取得

今回はツール紹介の第3段で ProDiscover。なかなかユニークな製品で注目しているのだが、全体的に中途半端でちぐはぐな作りがちょっと気になる。

• DD形式からVMware形式へのイメージ変換をサポートしているのに、vmdkをProDiscoverで直接読むことはできない
• リモートエージェント機能でプロセス情報やメモリイメージは取得できるが、ディスクイメージは取得できない
• メモリイメージの取得はできても、解析はできない(バイナリとして見れるだけ)
• インデックスを作成しないので検索は遅い(らしい)
• 日本語化がまだ不十分

あと今回は、講師自身があまり製品を使い込んでいないのか、実務経験が乏しいのか、理由はよくわからないが、参加者からの少し突っ込んだ質問に答えられていなかったのが残念。

VMイメージへの変換サポートの機能について、「証拠の原本性が失われるのではないか」という質問に対して、「そうだ」と答えていたのもちょっとナンセンスだ。そんな製品はないだろう。Live Viewもそうだが、ディスクイメージの形式を変換しているだけだから、VMを起動しても元の ddイメージはそのままでなんの影響も受けない。

他社の競合製品(EnCase, FTKなど)と比較しての優位性は何か、という質問に対して、「価格がリーズナブル」というだけでは製品として弱い。(たしかに安いことは安いが。) 機能面ではネットワーク対応が一番の売りとのことだったが、他にも同様のことができるツールはもちろんある。(Forensic Server ProjectやFirst Responseなど。商用製品では EnCase Enterpriseもあり。ただし、めちゃ高い。)

どうしても使いたいという気にさせるにはインパクトに欠けるという印象だった。ちなみに評価用にフリーで使える Basic Editionがあるので、興味のある方は使ってみましょう。