Collector Guide
Collector Guide#
unJaena Collector は、5つのプラットフォームにわたる400種類以上のフォレンジックアーティファクトを自動的に収集するオープンソースツールです。このガイドでは、各プラットフォームの収集方法とディスクイメージの対応状況について解説します。
対応プラットフォーム#
| プラットフォーム | 収集方法 | アーティファクト数 |
|---|---|---|
| Windows | Collectorを直接実行 | 105種類以上 |
| macOS | Collectorを直接実行 | 90種類以上 |
| Linux | Collectorを直接実行 | 65種類以上 |
| iOS | iTunesバックアップをアップロード | 140種類以上 |
| Android | ADB抽出ファイルをアップロード | 51種類以上 |
ディスクイメージの対応状況#
Collectorツールに加えて、各種フォーマットのディスクイメージを直接アップロードして分析することもできます。
対応フォーマット#
| フォーマット | 拡張子 | 説明 |
|---|---|---|
| EnCase | .E01 | フォレンジック標準イメージ形式 |
| VirtualBox | .VDI | VirtualBox仮想ディスク |
| VMware | .VMDK | VMware仮想ディスク |
| Hyper-V | .VHD, .VHDX | Microsoft Hyper-V仮想ディスク |
| QEMU | .QCOW2 | QEMU/KVM仮想ディスク |
| macOS | .DMG | macOSディスクイメージ |
| RAW | .raw, .dd, .img | RAWディスクイメージ |
ディスクイメージをアップロードすると、プラットフォームがファイルシステムを自動的にマウントし、アーティファクトを抽出します。
Windows アーティファクトの収集#
Windowsで収集される主なアーティファクトのカテゴリは以下の通りです。
システムアーティファクト#
- Prefetch: プログラムの実行記録(
C:\Windows\Prefetch\) - EventLog: システム/セキュリティ/アプリケーションのログ(
C:\Windows\System32\winevt\Logs\) - Registry: SYSTEM、SOFTWARE、SAM、SECURITY、NTUSER.DAT ハイブ
- $MFT: NTFS マスターファイルテーブル
- USN Journal: ファイル変更ジャーナル
- AmCache / Shimcache: プログラムの互換性データ
ユーザーアクティビティアーティファクト#
- ブラウザ履歴: Chrome、Edge、Firefoxの閲覧履歴、ダウンロード、Cookie
- 最近のドキュメント: RecentDocs、ジャンプリスト、LNKファイル
- Shellbags: フォルダの閲覧履歴
- USB記録: 接続されたUSBデバイスの履歴
ネットワークアーティファクト#
- ネットワークプロファイル: 接続済みネットワークの一覧
- DNSキャッシュ: DNS検索の記録
- SRUM: システムリソースの使用記録(ネットワークを含む)
収集の実行方法#
1. unJaena Collector を管理者として実行します
2. 収集範囲を選択します(Quick / Full)
3. 「Start Collection」をクリックします
4. 収集完了後、自動的にアップロードされます
macOS アーティファクトの収集#
macOSで収集される主なアーティファクトは以下の通りです。
システムアーティファクト#
- Unified Log: macOS統合ログシステム
- FSEvents: ファイルシステムのイベント記録
- Spotlight: 検索インデックスのメタデータ
- Launch Agents/Daemons: 自動起動の設定
ユーザーアクティビティアーティファクト#
- Safari履歴: 閲覧履歴、ダウンロード、タブ
- Finderの最近の項目: 最近アクセスしたファイルとフォルダ
- Quarantineイベント: ダウンロードされたファイルの取得元記録
- TCCデータベース: アプリへのアクセス権限の付与記録
注意事項#
- macOSでは、SIP(System Integrity Protection)により一部のシステムファイルへのアクセスが制限されています。
- 完全な収集を行うには、フルディスクアクセス の権限を付与する必要があります。
- システム環境設定 > セキュリティとプライバシー > フルディスクアクセス から unJaena Collector を追加してください。
Linux アーティファクトの収集#
Linuxで収集される主なアーティファクトは以下の通りです。
システムアーティファクト#
- syslog / journald: システムログ
- auth.log: 認証関連のログ
- wtmp / btmp: ログインの成功/失敗記録
- crontab: スケジュールされたタスク
ユーザーアクティビティアーティファクト#
- bash_history: シェルコマンドの履歴
- ブラウザ履歴: Chrome、Firefoxのデータ
- SSH鍵とログ: SSH接続の記録
- .recently-used.xbel: 最近使用したファイルの記録
収集の実行方法#
bash
# 依存パッケージのインストール
sudo ./install.sh
# 収集を実行(root権限が必要です)
sudo ./unjaena-collector --mode full
iOS デバイスの収集#
iOSデバイスのデータは、iTunesバックアップを通じて収集します。
前提条件#
- iTunesドライバーのインストール: Windowsの場合、Apple公式サイトまたはMicrosoft StoreからiTunesをインストールしてください。
- デバイスの信頼設定: iOSデバイスに「このコンピュータを信頼しますか?」と表示されたら、信頼 を選択します。
- バックアップの作成: iTunesでフルバックアップを作成します。
収集可能なアーティファクト(140種類以上)#
- メッセージ: iMessage、SMS、MMS
- 通話履歴: 発着信の記録
- 連絡先: アドレス帳
- ブラウザ: Safariの閲覧履歴、ブックマーク
- 位置情報: 位置履歴
- アプリデータ: インストール済みアプリのデータベース
- メディア: 写真・動画のメタデータ
- Wi-Fi接続記録: 接続済みネットワークの履歴
アップロード方法#
- ケースページの Upload Evidence をクリックします。
- iOS Backup タブを選択します。
- バックアップファイルが含まれるフォルダを選択します。
- アップロードが完了すると、パースが自動的に開始されます。
Android デバイスの収集#
AndroidデバイスのデータはADB(Android Debug Bridge)を使用して抽出します。
前提条件#
- 開発者向けオプションの有効化: 設定 > デバイス情報 > ビルド番号を7回タップします。
- USBデバッグの有効化: 設定 > 開発者向けオプション > USBデバッグを有効にします。
- ADBのインストール: Android SDK Platform Toolsをインストールします。
収集可能なアーティファクト(51種類以上)#
- 通話履歴と連絡先
- SMS/MMSメッセージ
- ブラウザ履歴
- アプリデータ: インストール済みアプリの一覧とデータ
- Wi-Fi接続記録
- デバイスの設定とアカウント情報
抽出とアップロード#
bash
# ADB接続を確認します
adb devices
# バックアップを作成します
adb backup -apk -shared -all -f backup.ab
# または、Collectorツールを使用します
./unjaena-collector --platform android
抽出したファイルをケースにアップロードすると、パースと分析が自動的に開始されます。
サーバーへのアップロード#
収集したデータは以下の方法でサーバーにアップロードできます。
Webアップロード#
- ケースページの Upload Evidence をクリックします。
- 収集済みのアーカイブファイルをドラッグ&ドロップするか、ファイルを選択します。
- アップロードの進捗がリアルタイムで表示されます。
Collectorの自動アップロード#
CollectorツールにAPIキーを設定すると、収集完了後に自動的にアップロードが行われます。
アップロード後の処理#
- パース: アーティファクトの種類に応じたパーサーが自動的に実行されます。
- インデックス作成: パースされたデータが検索可能な状態にインデックスされます。
- ベクトル埋め込み: AI分析のためのベクトル変換が行われます。
- 準備完了: すべての処理が完了すると、AI分析を開始できます。
処理にかかる時間はデータサイズによって異なりますが、通常は数分から30分程度で完了します。