USB Detectiveについて

USB Detectiveは、WindowsシステムにおけるUSBストレージデバイスを特定、調査、報告するために設計された専門的なフォレンジックソフトウェアツールです。Windowsオペレーティングシステムに対応しており、様々な調査シナリオに活用できます。

USB Detectiveの主な機能

1. 包括的なアーティファクト処理

• すべての対応アーティファクトの複数バージョンを処理し、徹底的な分析を保証
• 後の報告と文書化のために、特定された各値のソースを保持し、データの整合性とトレーサビリティを維持

2. 多様なデータソースへの対応

• ライブシステム分析、個別ファイル/フォルダ、論理ドライブ処理をサポート
• 様々なデータ取得方法に対応するため、個別ファイル/フォルダや論理ドライブを入力として受け入れ

3. 高度な相関分析

• Windowsの最新の変更を活用して、より詳細なデバイス情報を取得
• タイムスタンプの一貫性レベルを視覚的に表示し、不一致を素早く特定
• USBデバイス情報について数十のソースを照会し、包括的なデータ収集を実現
• LNKファイルとジャンプリストの記録を自動的に関連付け、USBデバイス上で開かれた/アクセスされたファイルを表示
• シェルバッグを処理して、リムーバブルメディアでのディレクトリの操作や作成を明らかにする

4. 強力なレポート機能

• 簡単に理解できるExcelレポートと、詳細な分析や研究のための詳細レポートを提供
• 各デバイスのすべての固有の接続/切断および削除タイムスタンプを含むタイムラインを作成
• 単一デバイスのすべての固有の接続/切断タイムスタンプの個別デバイスタイムラインを生成

5. その他の高度な機能

• 暗号化デバイスの暗号化タイプを特定
• Windowsイベントログを活用して相関関係とデバイス履歴を改善
• プライマリハイブにまだ書き込まれていないデバイスデータを特定するためにレジストリトランザクションログを再生
• ボリュームシャドウコピーからのデータを自動的に処理および集約
• 信頼性の低いタイムスタンプを自動的にチェックし除外
• マウントされたフォレンジックイメージを検索
• システムタイムゾーンを自動検出し、ローカルとUTCのタイムスタンプを正規化
• 不審なタイムスタンプに対するアラートを提供
• 複数のデータポイント（デバイスシリアル、ディスクID等）を使用してデータを関連付け
• 外付けハードドライブとAppleデバイスの高度な相関分析を提供
• フォーマットされたデバイスの以前のボリューム名とシリアル番号を特定
• 以前のセッションから設定を自動的に再読み込み
• 提供されたすべてのSYSTEMハイブのすべてのコントロールセットを検索
• 一貫性レベルのしきい値の調整が可能