Blade概要
主に以下の3つの特徴をもつ、カービング専用のフォレンジックソフトです。
・Intelli-Carve:「ファイル形式の構造理解」および「復元データの完全性検証」を実現する独自エンジン技術
・正規表現による、高速かつ正確なカービング
・ユーザーによる独自設定プロファイルの作成と共有
操作が簡単であるため、トレーニングを受けていない実務者であっても素早く簡単にご利用いただけます。
ドキュメント復元操作の紹介動画
Intelli-Carve
概要
Intelli-Carveエンジンは、製造元のDigital Detectiveによる最先端の独自技術で、復元データの精度を高めるために設計されたものです。
Intelli-Carveエンジンは、様々なファイル形式の構造理解により正確なデータ復元を実現します。また、復元された後にその復元データの完全性を検証し、検証に失敗したデータフラグメントをログに記録することが可能です。
カービングにおける従来の課題
ファイルタイプによっては、データの構造が複雑なため、従来の生データ復元(単純な切り出し)技術では正確な復元が極めて困難です。例えばJPEG画像では、従来の技術ではサムネイルやプレビュー画像しか抽出できず、メイン画像の復元は不可能です。
Intelli-Carveによるカービングのアプローチ
上記の課題を解決するために開発されたIntelli-Carveにより、単にヘッダーとフッターの間のデータを復元するだけでなく、より高度なカービングが可能です。
正規表現による高度なカービングと、ユーザーによる独自設定
正規表現によるパターンマッチングにより、非常に高速なカービングを実現します。フォレンジック調査の事前分析段階において高い効果を発揮します。また、分析官が独自の正規表現の設定等を行うことも可能です。独自設定は、プロファイルとして作成・保存でき、プロファイルはエクスポート/インポートが可能です。そのため、他のユーザーとプロファイルを共有することも可能です。
各種対応
対応するフォレンジックイメージ形式の一覧は以下の通りです。
EnCase v1 – 8 イメージファイル (EVF / Expert Witness Format)
|
*.e01
|
EnCase v7 – 8 イメージファイル(ex01) | *.ex01 |
AccessData FTK イメージファイル
|
*.e01, *.001, *.s01
|
アドバンスト・フォレンジック・フォーマット(AFF) |
*.aff;*.afd,*.afm |
Logicube Forensic Dossier E01 | *.e01 |
SMART/Expert Witness イメージファイル
|
*.s01
|
X-Ways フォレンジック・イメージファイル
|
*.e01
|
VMWare仮想ディスクファイル
|
*.vmdk
|
仮想ハードディスクファイル
|
*.vhd
|
セグメント分割 rawイメージ
|
*.000, *.001
|
単一 rawイメージ
|
*.dd; *.img; *.ima; *.raw
|
メモリダンプ
|
*.dmp; *.dump; *.crash; *.mem; *.vmem; *.mdmp
|
バイナリダンプ
|
*.bin; *.dat; *.unallocated; *.rec; *.data; *.binary
|
XRY抽出ファイル
|
*.xry
|
Bladeを用いると、以下をはじめとするファイルシステム・アーティファクトからデータを復元できる可能性があります。
- 未割り当てクラスタ
- 割り当て済みクラスタ
- クラスタスラック
- ボリュームスラック
- メモリダンプ
- バイナリダンプ
- スワップファイル
- ハイバネーションファイル
- 未使用ディスク領域
- ライブファイル
- “Resident”ファイル
- 削除済みファイル
- リストアポイント
- VSS
- 隠しパーティション
- 削除済みパーティション
各種資料
クイックスタートガイドはこちらから
※日本語版は、当社サポートポータルにて提供しております。