2010-10-21 FTK ImagerとContents of Folder
■FTK Imagerを利用したコレクション
eDに関連したコレクション作業で、米国にある会社にコレクション作業をお願いしたりすると、FTK Imagerを使って AD1 形式でデータが送られてくることがあります。手元では EnCase 一本槍なので FTK Imager を使うことはほとんど無いのですが、便利そうなのでちょっと確認してみて気になった点を忘れないようにメモしておきます。
なお、確認に使っている FTK Imager のバージョンはいわゆる Lite 版と、最近リリースされた Ver3.0.0.1443 を使っています。
■Contents of Folderとロングパス
FTK Imager Liteを使い論理的なファイルやフォルダを収集する場合、Evidence Item としては「Contents of Folder」を指定することになります。(物理または論理ボリュームでアクセスする方法も別途あります)
これを使うのは主にファイルサーバにあるユーザーの共有フォルダをコレクションする場合ではないかと思いますが、こういったケースで課題になるのは非常に長いパス上にあるファイルです。エクスプローラーなどでは246文字を超えるパスを扱おうとすると問題が発生します。
FTK Imager Liteではどうか?と思い 246文字を超えるパス上のファイルを Contents of Folderで収集してみたのですが、取れませんね。取れないだけならまだしも、246文字を超えるパス上にあるフォルダやファイルについては、取れなかった(収集に失敗)ログが残りません。
例えば、ユーザーのホームシェアが U: として割り当てられている場合、このフォルダ配下を全てコレクションしたとしても、246文字を超えるパスにあるファイルは収集されず、またログにそれが残りません。これはちょっと困りますね、エラーが出れば確認できますが、取れていると思ったところ実は取れていなかったということが起こりえます。まぁユーザーが日頃使っている中で246を超えるパスは扱えないので基本的に問題にならないのかもしれませんが、ちょっと気持ち悪いですね。
なお、マイクロソフト社の Robocopy を使うと3万2千まで対応していますので特に問題にはならないはずです。*1っていうか FTK Imager も 3万2千まで対応すれば良いのではないかと思いますけど。
念のため補足すると、物理ディスクや論理ボリュームを FTK Imagerでマウントしてそこから収集する場合には、246文字を超えたパス上にあるファイルとかでも問題なく収集できます。ただし、エクスポートする時にはパス長の制限にひっかかりますから、Export 機能も 246文字越えに対応して欲しいものです。なお、このExport における制限は EnCase にもあって、246文字を超えるようなパスのファイルを Copy/UnErase とか Copy Folder を使うとエラーになってしまうので、事前にパス長をチェックするスクリプトを使ったりしています。EnCase も 246 越えして欲しいんですけど、昔から機能リクエストが出ているものの対応しませんねダサイ。
■Contents of Folderとオープンファイル
Contents of Folder 経由でのコレクションは、論理的なアクセスですので対象ファイルがオープンされていたりロックされている状態だとエラーになってしまい取得できませんね。例えば Excel でシートを開いていたりすると、そのファイルはコレクションできずエラーとしてログに記録が残ります。
これは Robocopy でも同じですが、FTK Imager だとリトライ回数とか待機時間を指定できないので、その辺りは少し改良して欲しいところですかね。KaniCopyもリトライ回数はないか...
最近、オープン中のファイルやロックファイルをコピーするツールが幾つか見受けられますが、VSS 使っていたりするので、やはり回避策としてはその辺りの対応が必要になるんでしょうかねぇ。一般ユーザーの権限範囲で対応できるのが嬉しいんですけど。『全てのアプリケーションを閉じてください』とお願いするのが確実?!
■FTK Imager 3 と LEFファイル
FTK Imager 3 では EnCase LEF(論理証拠ファイル)を取り扱えるようになっているので、これは便利かも!と思ってちょっと確認してみたのですがまだ完全ではないようです。
EnCase LEF ではファイルを論理証拠ファイル内に収容する段階で、すでに収納済みの重複するファイルがあると、重複排除のような仕組みを持っているようです。LEF ファイルの詳細な仕様が公開されていないので勝手な推測ですが、例えば対象データが 1GB あっても半分重複していると 500MB の LEF が生成されます(もちろん非圧縮のオプションを選択している場合)。
例えば、LEF 内に重複しているファイルがある場合、FTK Imager からそれらのファイルを参照すると、ファイルのコンテンツが適切に表示されません。この為、そのまま Native ファイルを Export しても例えば 500MB 分しか出ないというか、重複処理されているファイルの中身については正しく取り出すことができません。
Twitter でも確か関連する話題が流れていた気がするので、そのうち修正されるのではないかと思いますが、現在の Ver 3.0.0.1443 では LEF の取り扱いについては問題があるということで注意が必要ですね。
*1:Ji2社内には、その名もずばりKaniCopyという船長作成の蟹ツールがあるんですが、これは3万2千まで対応していて、メタも維持する優れものです
