Dr.セキュリティ®

【新サービス】脆弱性診断(セキュリティ診断)のサービスを受注開始しました
→ 費用を抑えるコツの記事も公開中です

社名変更のお知らせ - 旧社名:LTセキュリティ から、新社名:Dr.セキュリティ へ変更しました

Windowsフォレンジック用
無料ログ収集ツール
『フリーFFSログコレクター』

『Windowsパソコンのログを簡単に収集したい』
という方へ、無料で簡単&高速にログ収集できる当社オリジナルのフォレンジックツール(ログ収集ツール)を当ページで配布いたします。

簡易的なフォレンジック調査に役立つのはもちろんですが、それだけでなく「デジタル・フォレンジックの学習用途」にも使える形のツールです。

企業の情シス/IT担当者様、フォレンジックに関心のある方にぜひ一度ご使用頂けましたら幸いです。

ツールの作成者

Dr.セキュリティ®
代表技術者 冨田 圭介

DFプロ認定資格保有
① CDFP-B(基礎資格)
② CDFP-P(実務者資格)
冨田 圭介

ツールの取得方法

下のリンクをクリックしてダウンロードして下さい。

ダウンロードページを開く
(新しいウインドウが開きます)

  • ファイル名:free_ffs-lc.zip
  • ハッシュ(SHA-1):
    1D39845DD686D646C4EBAD9F59AA7628EC464401

ログ収集ツールの概要

当社のファスト・フォレンジック調査サービス「Dr.セキュリティ® FFS」で使用するフォレンジックツールの一部を切り出した、無料で使用できるログ収集ツールです。

  • 名称:『 フリーFFSログコレクター 』
    (旧名称:LTS-Logcollector)
  • どなたでも無料でご使用頂けます。
  • Windows 10 /11 に対応します。
  • ファイル形式は取り扱いが容易な「.bat」です。
  • 収集したデータのファイルハッシュを自動計算しますので、簡易のフォレンジックツールとしてご使用頂けます。
用途は主に、法人のIT担当者が業務PCに対して自力で簡易的にフォレンジック調査するような場面で使用されることを想定しております。

しかし特に制限等はございませんので、個人の方がご自宅のPCを調べるのにも使用できます。
また、手軽に使えますのでフォレンジック調査のトレーニングやインシデント対応の社内研修などに活用したり、ツールの仕組み(ソースコード等)を解読してフォレンジックツールの学習に役立てるというような使い方もアリかと思います。

ほか、タスクスケジューラで毎日実行してNASにログを集約するなど、社内の全端末のログを自動収集&集中管理するような使い方もできます。

このログ収集ツールは
ここが凄い!

【凄い①】簡単なハッキングでコピー防止機能を突破

このログ収集ツール『フリーFFSログコレクター』には、通常のコピー操作では収集できないレジストリ等のファイルを強引にコピーするコマンドを実装しております。
それは特別に珍しいことではありませんが、同様の手法はセキュリティサービスで応用されたり、サイバー攻撃で悪用されたりする手法ですので、フォレンジック調査やサイバーセキュリティの初学者にとって良い学習材料になるかと思います。

【凄い②】標準的なWindowsの機能だけで実現

基本的にツール単独で動作します。インタプリタや追加ライブラリのインストールなど面倒な環境構築作業は不要です。マウス操作だけで使用できますので、フォレンジック調査が未経験の情シス/IT担当者様でも簡単に使用できます。

【凄い③】ソースコードを読めます

一般的にはコンパイル済みのexeを配布するのが通常ですが、このツールは敢えてバッチファイルの形で作成&配布しておりますので、簡単にソースコードを読めます。しかも解読を楽にできるようコード中に開発時のコメント(REMコマンド)を残してあります。

単に使用するだけでなく、フォレンジックツールの学習材料としても役立つはずです。

フリーFFSログコレクターが収集する
ログ等の種類

イベントログ

「%SystemRoot%\System32\winevt\Logs」にある .evtx を丸ごとコピーします。

レジストリの一部

Windowsレジストリの内、インシデントの際に調べることが多い下記の物をコピーします。
DEFAULT, SAM, SOFTWARE, SECURITY, SYSTEM, Amcache.hve, NTUSER.dat, UsrClass.dat

全てのプリフェッチ

「%SystemRoot%\Windows\Prefetch」にあるプリフェッチファイルを丸ごとコピーします。

Web履歴

各ユーザーの、Edge, Chrome, Firefoxの履歴データをコピーします。

日本語入力「IME」のデータ

各ユーザーの、IMEの JpnIHDS.dat をコピーします。

ファイル/フォルダの履歴

ファイルを開く、フォルダを作成するなどの記録が残る履歴データ(WebCacheV01.dat)をコピーします。

ログ収集の大まかな流れ

後ほど詳しく手順を説明しますが、まず先に大まかに4ステップの流れをご案内します。

  1. 取得:ツールをダウンロードする。
  2. 設置:ツールのバッチファイルをCドライブにコピーする。
  3. 実行:バッチファイルを実行する。
  4. 完了:ログ等はzipにまとめてCドライブに保存されます。

ログ収集の詳しい手順

ツールをダウンロード

ツールのzipファイル

当ページの「ツールの取得方法」にあるリンクよりzipをダウンロードして下さい。

バッチファイルをコピー

ツールのバッチファイル

zipの中にある「ffs-lc.bat」を右クリックまたはCtrl+Cでコピーして下さい。

Cドライブにペースト

ツールをCドライブに貼り付け

バッチファイルを実行

ツールのバッチファイルを実行

「ffs-lc.bat」をダブルクリックすれば実行されます。

【補足1】
もしウイルス対策ソフト等によりブロックされた場合は、当該ソフトの設定で許可するか、当該ソフトを停止させてから実行して下さい。

【補足2】
EDRを使用されている環境ですと、ログ収集処理をインシデントとして検知するはずです。(前述の通り、簡単なハッキングのテクニックでログ収集するためです。)

UAC許可

ユーザー アカウント制御

UAC(ユーザー アカウント制御)の画面で「はい」をクリックして下さい。

ログ収集処理

処理中の画面

黒い画面が表示されてログ収集処理が始まります。
途中で見本の赤字部分のようなエラー表示が出ますが無視して良いです。
処理時間はPC毎に異なりますが、だいたい数分で完了します。

ログ等がCドライブに保存されます

スクショ

下記2つのフォルダが作成されます。
① ffs_logs
② FFS-LC-BASE

①番はデータをまとめてzip圧縮した「証拠保全データ」が入っているフォルダです。
②番は圧縮前のデータが入っているフォルダです。

どちらも中身のログ等は同じですが、①番は保管および外部提出用のデータとして扱い、②番はご自身で解析するためのデータとしてご使用下さい。

ログ等を調べる方法

しっかり解析して調べたい場合にはデジタル・フォレンジック専用の解析ツールが必要ですが、調査精度を気にせず簡易的に調べてみたいという場合は、無料のユーティリティソフトを使用すればGUIでログ等の内容を見ることができます。代表的なソフトを幾つかご紹介いたします。

イベントログの解析

Windowsに標準でインストールされているイベントビューアでログの内容を見ることができます。

レジストリの解析

「MiTeC Windows Registry Recovery」というソフトが便利です。
(参考サイト:https://www.mitec.cz/wrr.html
このソフトの本来の用途はレジストリの修復や書き換えを目的としているようですが、他のPCからコピーしてきたレジストリを開くことができ、情報が見やすく整理されますので、フォレンジックの学習においても良く使用されている印象があります。

プリフェッチの解析

「WinPrefetchView」というソフトが便利です。
(参考サイト:https://www.nirsoft.net/utils/win_prefetch_view.html
プリフェッチファイルが保存されているフォルダを指定すれば、中にあるプリフェッチを丸ごと解析できます。

Webブラウザの履歴の解析

代表的なブラウザであるEdge(現行のChromium版),Chrome,FireFoxの履歴データは、「DB Browser for SQLite」というソフトで開くことができます。
(参考サイト:https://sqlitebrowser.org/

IME日本語入力の解析

申し訳ございません。これを解析するための無料ソフトを私は存じておりません。
もしご存知の方がいらっしゃいましたら、情報提供頂けますととても有り難いです。

旧Egde, IE, ファイル/フォルダ履歴の解析

「ESEDatabaseView」というソフトが有名です。
(参考サイト:https://www.nirsoft.net/utils/ese_database_view.html
【補足】このソフトでは履歴データの全行を取りこぼし無く読み取れないことがあるようですのでご注意下さい。当社でテストしたところGUI版だけでなくCLI版でも読み込めない行がかなり多くありました。

収集したログを、
自動解析するサービスをご用意!

『無料ソフトで調べてみたけれど、何がなんだか良く分からなかった…』
というときは自動解析サービスをご利用下さい。

収集されたログを当社で自動解析し、人間が読みやすいように整理して一覧化したデータをお渡しします。

解析画面1

上の見本のように、「ファイル履歴」や「Web履歴」などなど、複数の項目を時系列(降順)で一覧化するので調査が大幅に楽になります。

解析画面2

上の見本は「退職者による営業秘密の持ち出し」のサンプルケースです。
見本の赤色部分を1番から(下から)順に見て下さい。
顧客名簿を共有ドライブからコピーし、USBメモリに保存した後、ファイル転送サービスにアクセスしている様子が分かります。

自動解析サービスでは次の項目を一覧化できます

ファイル履歴のアイコン
ファイル/フォルダ履歴
ファイルを開く、フォルダを作成する等の履歴をログから抽出します。
USB履歴のアイコン
USB機器等の接続履歴
USBメモリー、HDD、スマホなどUSB接続した履歴をログから抽出します。
Web履歴のアイコン
Web閲覧・検索履歴
Edge, Chrome, Firefoxの閲覧履歴、検索履歴をログから抽出します。
ダウンロード履歴のアイコン
ダウンロード履歴
ブラウザでファイルやアプリをダウンロードした履歴をログから抽出します。
日本語入力形跡のアイコン
日本語入力形跡
IME日本語入力の形跡をログから抽出します。
アプリ実行形跡のアイコン
アプリ実行形跡
アプリやexeの実行形跡をログから抽出します。

表示項目を絞り込めます

ログの絞り込み画面

赤枠部分で示す箇所にて、表示させるログを選択することができます。
不要な情報を非表示にすることで可読性を高められます。
【補足】赤枠より右側の項目は自動解析サービスには含まれません。通常の調査サービス「Dr.セキュリティ® FFS」のメニューとなります。

日付・時刻で絞り込めます

日付時刻指定画面

キーワード検索できます

キーワード検索画面

特定のキーワードでログを横断的に検索できます。ファイル名、日本語入力、Webページのタイトルなどを横断的に検索したいときに便利です。

自動解析サービス料金:税込5万5千円

通常の調査サービス「Dr.セキュリティ® FFS」と同様、3台まで上記料金で対応可能です。

来店不要

フリーFFSログコレクターで収集したzipファイルを当社にお送り頂くだけでご利用可能です。
ファイル転送サービス(例:データ便、ギガファイル便)など、オンラインでの受け渡しなら簡単手間いらずです。

即日お渡し

自動解析処理は1台辺り数分で完了しますので、ほとんどの場合は即日で解析済みデータをお渡しできます。