Arsenal Recon 概要
以下のソフトウェアを含む、パッケージソフトです。
- Arsenal Image Mounter
- Hibernation Recon
- Registry Recon
- HBIN Recon
- Hive Recon
- ODC Recon
Arsenal Image Mounterのオンライントレーニングも提供しております。
Arsenal Image Mounter
ディスクイメージをWindows の完全な物理ディスクとしてマウントし、以下をはじめとする、物理ディスク固有の機能の恩恵を受けることができます。
- ディスクマネージャとの統合
- 仮想マシンの起動
- Windows 認証と DPAPI のバイパス
- Windowsのファイルシステムドライバのバイパス
- BitLocker で保護されたボリュームの管理、操作
- ボリュームシャドウコピー(VSS)のマウント
Hibernation Recon
Windows XP/Vista/7/8/8.1/10/11のハイバネーションファイルから、メモリを再構築できます。
また、その中に存在するスラックスペースから、大量の情報を抽出することも可能です。
NTFSメタデータを自動回復したり、複数のハイバネーションファイルを同時に処理するといった機能もあります。
Registry Recon
単なるレジストリパーサー以上の機能を提供します。具体的には以下の機能があります。
- ディスクイメージ全体からの、効率的なレジストリデータ収集
- 削除済みレジストリキーの復元
- Windows復元ポイントおよびボリュームシャドウコピーのサポート
- 特定の時点におけるレジストリキー(およびその値)の表示
- レジストリキーの自動デコード
上記機能を活用することにより、以下のようなことを調査することができます。
- アプリケーションの使用状況
- 最近アクセスしたファイル
- リムーバブルストレージの使用状況
- ネットワーク接続
- マルウェアの残骸
- ユーザー名とパスワード
HBIN Recon
任意のファイルを読み込ませ、その中から Windows レジストリ ハイブビン (hbin) を識別し、解析します。
例えば以下のようなファイルを読み込ませて解析を行います。
- 断片化していない、健全なレジストリハイブ
- 断片化したレジストリハイブ
- ハイブトランザクションログ
- トランザクションレジストリ(TxR)ファイル
- スワップファイルや他の場所で見つけることができる圧縮ハイブビン
- ハイバネーションスラック(事前にHibernation Reconによって処理)
- ファイルスラック
- 未割当領域
他の手段ではアクセス不可能なデータを発見することも可能です。
たとえば、ハイブビン内の以下情報を抽出/解読/復号化します。
- BAM
- SECURITYの認証情報とキャッシュエントリ
- Syscache
- UserAssist
Hive Recon
Windows のハイバネーションおよびクラッシュダンプファイルからレジストリハイブを抽出します。
Windows のハイバネーションファイルやクラッシュダンプからレジストリハイブを抽出します。
他のソリューションが抽出できないような場合であってもハイブを抽出し、健全で無傷なハイブを抽出することに長けています。
また、クラッシュダンプフォーマットに変換されたメモリキャプチャからハイブを抽出することも可能です。不揮発性のハイブに加え、揮発性のハイブの抽出も可能で、同じハイバネーションファイルまたはクラッシュダンプセッションからスワップファイルを組み込んで、より健全なレジストリハイブの抽出を行います。
ODC Recon
各Office Document Cache(ODC)に含まれるFSDファイルを解析することで、ODCからドキュメントとメタデータを抽出します。各FSDファイルには、複数のバージョンのOffice文書だけでなく、他ではもう入手できないOffice文書が含まれていることがよくあります。