Helix1.6

密かにバグフィックスされた3/12版が出ているのでそっちを使いましょう。ということで試してみたので前バージョンとの差などをメモ。今回の画像は小さめで(小さすぎかも)..と思ったら本家にしっかりと画像が載っていたよ(汗 差分の画像だけ載せておきます。→PHOTOは本家のギャラリー番号

Windows

CDを挿入すると丸くなったスプラッシュの後ウィンドウが立ち上がってくる。左側にメニューアイコン、右側にそれぞれに応じた画面が出てくる。→PHOTO 1a、1b


System InformationはOS、、所有者情報、NW情報、ドライブ情報が確認できる。日本語のドライブ名は文字化け。→PHOTO 1i

System Information


Live Acquisitionはドライブ、メモリーイメージをddで取得。SMB経由、netcat経由で転送。前バージョンではSMBのみ(だったと記憶)で、Sourceを手打ちをしなければならなかったが選択式になって便利になった雰囲気。→PHOTO 1c
 
 
Live Acquisition


Incident Responseはシステムの調査、情報収集に使用。→PHOTO 1d、1e
WFT(Windows Forensic Toolchest)SecReport、F.R.E.D=FirstRespondersEvidenceDisk(fred-nc.bat)、VNC Sercerは今まで通りだが、RootkitRevealer(Sysinternals)、FileRecovery、ScreenCapture が新たに加わった。おっと2ページ目にもMessenger Password ,Asterisk Logger ,Mail Password View , IE History Viewerが新たに。


Documentは省略...Browse Contentsはディスクのファイル情報などを確認できる。ディレクトリ一覧などは日本語にも対応しているが、詳細な情報のところでは化けるみたいだ。→PHOTO 1f,1g

Browse Contents


Scan For Imagesは画像ファイルブラウザといった感じ。指定したディレクトリのなかから画像ファイルを取得してサムネイル表示してくれる。試しに検証マシンでDocument and Settingを指定したら堤会長やら小泉総理が出てきた(w ブラウザのキャッシュか。→PHOTO 1h

Scan For Images


Linux

こちらはちょっと手抜き気味。bootオプションが選択しやすくなっている。デスクトップ環境がXFceに変更されたので、Whoopixを覚えておけば使える(ウソ 雰囲気が大幅に変わってます。本当はLinux側のほうがツール類とかが更新されているのでいじらないといけないのだが。

余談

前のバージョンのF.R.E.Dはバッチファイルが最後までいかなかったのだが、修正されている。ただIncident Response画面からはうまく動かなかった。「プロセスが、存在しないパイプに書き込もうとした...」的なエラーが出る。パスがおかしい?本家フォーラムでもそれっぽい話題があった。 手動でfred-nc.bat | nc.exe 192.168.111.11 8888 的に転送すればOK。実はこれすらできずいろいろと探して「nc.exeがどこにもないよーなんでだー?」と1時間。rootkitで隠してあった(´Д`;