2018年06月11日

証拠保全用スクリプト

 簡易フォレンジックに必要となるエビデンスを自動収集するスクリプトを作成しました。USBメモリ等に、必要なツール(※1)と一緒に格納したうえで利用します。

  (※1)各自で別途ダウンロードしていただく必要があります。詳細はREADMEをご参照ください。

 本スクリプトを格納したUSBメモリ等を調査対象コンピューターに接続し、本スクリプトを実行すると、USBメモリ等にエビデンスがコピーされます。

 WindowsXP、Windows7、Windows10(1709)において動作することを確認しておりますが、不具合等がありましたら情報提供いただけると助かります。

ForensicScript.zip (7.54KB)
簡易操作手順書(ForensicScript_manual_v20180605_B0.2.docx) (22.7KB)

証拠保全スクリプトで自動収集するエビデンス

 本スクリプトでは、以下のエビデンスを自動収集できます。

  • $MFTおよびUsnJrnl:$J
  • イベントログファイル
  • Prefetchファイル
  • レジストリファイル
  • 各ユーザーのNTUSER.DAT、Recentフォルダ、IEの閲覧履歴ファイル
  • setupapi.log(XP)、setupapi.dev.log(Win7)
  • 各種コマンド実行結果

事前準備

1.本スクリプトから実行されるツールをダウンロード

 本スクリプトから実行される以下のツールをダウンロードします。

※1 ExtractUsnJrnl.exe(32bit版)は、マルウェアとして誤検知されることがあるため、修正版を利用します。
※2 WindowsXP環境において、handleの最新版であるver.4.11.0.0を実行時にエラーが発生したため、旧バージョンを利用します。旧バージョンを用意できない場合、XP用スクリプトからhandleを削除してください。

2.USBメモリ等にスクリプト、ツール等を配置

 USBメモリ等に、以下のフォルダ構成で、スクリプトならびに上記1.の手順でダウンロードしたツールを配置します。

ルートフォルダ
├ ir-win7.vbs ・・・ エビデンス取得スクリプト(Windows7版)
├ ir-winxp.vbs ・・・ エビデンス取得スクリプト(WindowsXP版)
├ evidence ・・・ スクリプトで取得したエビデンスが保管されるフォルダ
└ tools
  └cmdTools ・・・ダウンロードしたツールをこのフォルダ内に配置

証拠保全スクリプトの使い方

(1)管理者権限でログオンした状態で、スクリプト「ir-win7.vbs」または「ir-winxp.vbs」をダブルクリックして起動します。

(2)実行確認のメッセージボックスが表示されたら、「はい」をクリックすると、処理が開始されます。
 なお、Windows7の場合は、ユーザーアクセス制御(UAC)の確認メッセージが表示されるため「はい」をクリックする。

(3)エビデンスは,「evidence」フォルダ内の「コンピュータ名_年月日時分秒」フォルダに保存されます。
 また,同フォルダには「log.txt」が作成され,処理開始日時・処理終了日時が記録されます。

posted by やまと at 20:42| Comment(0) | 実験日誌
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント: