Windows側

• http://www.e-fense.com/helix/gallery.htm

CDを挿入すると丸くなったスプラッシュの後ウィンドウが立ち上がってくる。左側にメニューアイコン、右側にそれぞれに応じた画面が出てくる。→PHOTO 1a、1b

System InformationはOS、、所有者情報、NW情報、ドライブ情報が確認できる。日本語のドライブ名は文字化け。→PHOTO 1i

System Information

Live Acquisitionはドライブ、メモリーイメージをddで取得。SMB経由、netcat経由で転送。前バージョンではSMBのみ（だったと記憶）で、Sourceを手打ちをしなければならなかったが選択式になって便利になった雰囲気。→PHOTO 1c
　
　
Live Acquisition

Incident Responseはシステムの調査、情報収集に使用。→PHOTO 1d、1e
WFT(Windows Forensic Toolchest)、SecReport、F.R.E.D=FirstRespondersEvidenceDisk(fred-nc.bat)、VNC Sercerは今まで通りだが、RootkitRevealer(Sysinternals)、FileRecovery、ScreenCapture　が新たに加わった。おっと2ページ目にもMessenger Password ,Asterisk Logger ,Mail Password View , IE History Viewerが新たに。

Documentは省略．．．Browse Contentsはディスクのファイル情報などを確認できる。ディレクトリ一覧などは日本語にも対応しているが、詳細な情報のところでは化けるみたいだ。→PHOTO 1f,1g

Browse Contents

Scan For Imagesは画像ファイルブラウザといった感じ。指定したディレクトリのなかから画像ファイルを取得してサムネイル表示してくれる。試しに検証マシンでDocument and Settingを指定したら堤会長やら小泉総理が出てきた（ｗ　ブラウザのキャッシュか。→PHOTO 1h

Scan For Images

Linux側

こちらはちょっと手抜き気味。bootオプションが選択しやすくなっている。デスクトップ環境がXFceに変更されたので、Whoopixを覚えておけば使える（ウソ　雰囲気が大幅に変わってます。本当はLinux側のほうがツール類とかが更新されているのでいじらないといけないのだが。

• http://www.e-fense.com/helix/gallery-2.htm
• http://www.e-fense.com/helix/changelog.htm

余談

前のバージョンのF.R.E.Dはバッチファイルが最後までいかなかったのだが、修正されている。ただIncident Response画面からはうまく動かなかった。「プロセスが、存在しないパイプに書き込もうとした．．．」的なエラーが出る。パスがおかしい？本家フォーラムでもそれっぽい話題があった。　手動でfred-nc.bat | nc.exe 192.168.111.11 8888　的に転送すればOK。実はこれすらできずいろいろと探して「nc.exeがどこにもないよーなんでだー？」と1時間。rootkitで隠してあった（´Д｀；