Belkasoft Evidence Centerの主な機能
インスタントメッセンジャー解析
本製品は、以下のインスタントメッセンジャーの解析に対応しています。
- Skype
- QQ (2008~2014) *1
- LINE
- KAKAO
- ICQ
- Google Talk
- Microsoft MSN / Live Messenger
- Yahoo! Messenger
- その他、90種以上(2014年現在)
*1 Tencentのプロトコル変更により、予告なく解析できなくなる場合があります。
ドライブとイメージマウント
本製品は、以下のドライブとイメージマウントに対応しています。
- EnCase(E01、Ex01)
- FTK AFF
- DD raw
- SMART(S01)
- Windows(FAT、NTFS)
- Mac OS X(HFS、HFS+)
- Unix/Linux(EXT2/3/4)
- VMware、Virtual PC
BelkaCarving
本製品は、独自のデータカービング技術により、押収した証拠ドライブから意図的に隠されたファイル、移動したファイル、名前が変更されたファイルを見つけ出し、削除された情報や断片化した情報を復元することができます。
この機能は、インスタントメッセンジャー、SNS、ウェブメール、オンラインゲーム、ウェブアプリケーション、画像、動画、ドキュメント、システムファイル、データベースなどさまざまなフォーマットに対応しています。
ライブRAM解析
本製品は、コンピュータのメモリでのみ処理され、ドライブに記録されない証拠を検出できるライブRAM解析に対応しています。またBelkaCarving™アルゴリズムを併用することで、ダンプしたメモリの断片化した情報を復元することもできます。
SNS、クラウドアプリケーション解析
本製品は、以下のSNSとクラウドアプリケーションの解析に対応しています。
- Google+
- Orkut
- Bebo
- Odnoklassniki.ru
- Vkontakte.ru
- Dropbox
- Flickr+
- Google Drive
- SkyDrive
- Yandex Disk
電子メール解析
本製品は、以下の電子メールの解析に対応しています。
- Microsoft Outlook
- Microsoft Outlook Express
- Windows Live Mail+
- Mozilla Thunderbird
- Apple mail(EML / EMLX)
- Gmail
- Hotmail
- Yahoo! Mail+
- The Bat!
- その他、MIME タイプ
ブラウザ解析
本製品は、以下の電子メールの解析に対応しています。
- Microsoft Internet Explorer
- Mozilla Firefox
- Google Chrome
- Apple Safari
- Opera
画像とビデオの解析
本製品は、抽出された画像とビデオファイルから「ポルノ」、「顔」、「テキスト」を 検出することができます。
検出した顔を強調する機能やポルノ画像を自動でぼかす機能、ビデオファイルの解析においてはキーフレームに分割され、不愉快なビデオを何時間も閲覧しなければならない調査官のストレスを軽減するのに役立ちます。
スマートフォンの解析
Office、ドキュメントファイル、
SQLite解析(拡張モジュール)
本製品は、OfficeなどのドキュメントやSQLiteのデータを検索、抽出することができます。
ドキュメントにおいては、テキストのほかに、ドキュメントファイルに埋め込まれているすべてのメタデータとファイルを抽出できます。SQLiteにおいては、データベース内部の末割り当て領域から削除、破損、コミットされていない記録やデータベースレコード含む情報を抽出することもできます。
Windowsレジストリ解析
本製品は、以下のレジストリ情報の可視化とカービングに対応しています。
- ユーザー名
- 最終ログオン日時
- 最終ログオン失敗日時
- 最終パスワード変更日時
- ユーザーRID
- LMハッシュ
- NTLMハッシュ
- ユーザー名とセキュリティ識別子(SID)
- コンピュータ名
- OSインストール日時
- OSバージョン
- シャットダウン日時
- タイムゾーン
- アプリケーション実行履歴
- コモンダイアログ履歴
- 最近使用したOfficeとAdobe Acrobat
- プリフェッチファイル
- 起動時に自動実行されるプログラム
- イベントログの場所
- オートラン(USB、CD、DVD)
- 接続してきたUSBデバイス情報
- 接続されていたデバイス情報
- ネットワークアダプタ
- ワイヤレスプロファイル
- Search Assistant
- Windows Explorer
- Microsoft Office
- ペイント
- ワードパッド
- Windows Media Player
- ICQ
- Internet Explorer
- Skype
- Trillian
- Yahoo!
システムファイル解析
本製品は、Windowsのシステムファイルに特化した解析をすることができます。
休止状態で使用されるハイバネーション(hiberfil.sys)や使われないメモリ領域を一時保存するページファイル(pagefile.sys)は、再起動や電源を切っても残っているため、コンピュータを利用した痕跡から重要な証拠を特定するのに役立ちます。このほかにジャンプリスト、サムネイル(Thumbs.db)などの解析にも対応しています。
暗号ファイルの検出、復号化機能
(拡張モジュール)
本製品は、ドライブおよびドライブイメージ内にある暗号化されたファイルを検出し、その暗号の種類と特性を示し、ファイルの復号化に用いる手順などをアドバイスします。さらに”Passware Kit Forensic”と連携したEnCaseがインストールされている場合、Passware統合機能により本製品のインターフェース上から直接暗号ファイルを復号化することができます。
ケースの共同調査(拡張モジュール)
"Team Edition"モジュールを追加すると、ケース情報をローカルネットワーク上のサーバーにデータベースとして保存することができ、ユーザー管理、アクセス権限の割り当てをサポートしています。この機能によりさまざまなケースに対しユーザーや所属グループごとのアクセス権限を設定できるようになり、同じケースを複数のユーザーで共同調査することも可能になります。
Belkasoft社は、デジタル・フォレンジック、インシデントレスポンス(DFIR)に特化した
米国のソフトウェアメーカーです。
その代表的ツールBelkasoft Evidence Center Xは、リバース・エンジニアリング、データリカバリー、
デジタル・フォレンジックのプロ集団によって開発され、世界中の捜査官および
フォレンジック・エキスパート達の仕事を迅速かつ簡単、より効率の良いものにしました。
Belkasoftの製品は世界130ヵ国以上のフォレンジック・ラボ、諜報機関、事業所、軍隊、警察、法執行機関等のお客様によって、
殺人、児童への犯罪、麻薬密輸、データ漏洩、不正などの調査、その他のオンラインおよびオフライン犯罪対策に広く利用されています。