ProDiscover^® Investigator

ProDiscover^® Investigatorは、ネットワークを通してシステムのディスクコンテンツ(ディスク内容)を遠隔調査することができます。
それによって不法行動や企業ポリシーのコンプライアンスのチェックが出来る、強力なコンピュータフォレンジックツールです。

　特徴

• 稼働中のシステムのリモート調査
• HPA領域、未使用領域、スラックスペースを含む全てのデータ領域取得・調査
• ルートキット等によって隠されている全てのファイルをセクターレベルで調査
• 揮発性データを含むメモリの情報をビットレベルで調査
• Perlスクリプトによる調査業務の効率化
• 米国NDICで公開されているハッシュリストのインポート
• エージェントのリモートインストール
• ２５６ビットのAESまたはTwofishでの暗号通信

　主な機能

対象のサーバやクライアントPCに、エージェントと呼ばれる埋め込み型ソフトウェアをインストールする事により ネットワークを介した調査・解析を行う事ができます。
エージェントはUSBメモリ等の外部デバイスを使用しインストールを行うか、ネットワークを介してインストールする事ができます。 尚、エージェントのクライアント数に制限はありません。

ProDiscover^® Investigatorを使用することにより、FireWallやAntiVirus等でブロックされずに侵入してきた未知の脅威を発見することができます。 また、サーバを直接操作することによりクラッカーの仕掛けたトラップにかかり、調査をすることで却って被害を大きくする危険性を回避する事ができます。

ディスクを通常のファイルシステムからではなく、セクターレベルで読み込む為、データを隠蔽することは不可能です。よって削除ファイルを復元したり、スラックデータやHPA領域を見たり、また、Windowsの代替データストリームを調査することが出来ます。
この独自のアプローチによって、最終アクセス日時等のどんな重要なメタデータも変更することなしにファイルを調査することが出来ます。

ブール演算を用いて探したいキーワードやフレーズでディスク全体を検索することが出来ます。
NDICのハッシュキーパーデータベースによって提供されているデータを利用し、OSが標準で保持しているファイルなど機知の問題のないファイルを無視したり、機知の不法なファイルを見つけ出したりする為に、ハッシュ比較機能を利用できます。
ProDisocver^® Investigatorの強力な検索能力は高速で柔軟性を持つ為、スラックスペースを含めた、ディスク上のどんな場所であっても単語やフレーズで検索を行うことが出来ます。付属のオンラインヘルプ機能やGUIによる簡単な操作性によって、ProDiscover^® Investigatorをすぐに使い始めることが出来ます。

調査終了後、全てのファイル自体やハッシュ値、証拠が見つかった場所を含めた結果を書類化する必要がある証拠能力のあるレポートを自動的に作成します。
これにより、時間を短縮したり、訴訟を危うくする可能性もある間違いを防いだりします。

　対応ファイルシステム

• FAT12/16/32
• NTFS（NTFS Dynamic Disk / software RAID対応）
• Sun Solaris UFS
• Linux ext2 / ext3