「MacForensicsLab」は、Apple社の個人向けコンピュータに特化した製品として、フォレンジック市場に最初に登場した製品です。もちろん、iPodといったApple社関連製品やMacintoshコンピュータと互換性のあるサードパーティ製デバイスもサポートしております。
他のプラットフォームデバイスのデータを解析する場合、はじめに、そのデバイスのハードディスクドライブをMacintoshに接続する必要があります。外付けドライブとして動作する機能を持たないデバイスの場合、外付けドライブにする必要があります。まず、FireWire接続の外付けハードディスク用ケースをご用意の上、デバイスからハードディスクを取り出し、外付け用ケースに収めて、外付けドライブとして、Macintoshに接続してください。解析後、収集したファイル等は、別にご用意されました保存用のドライブに保存してください。
Analyze(解析)機能では、Hexとテキストモードでファイルを分析し、他の製品では成し得る事のできない高速な処理でファイルセクタをスキャンします。
Hexとは16進数表示。0から9、A, B, C, D, E, Fで表示される。コンピュータのデータは、内部的にはすべて2進数(0,1)で表されるが、扱いやすくするため、通常は、4桁でまとめて、16進数で表示される。テキストデータ以外のデータの場合、テキストで表示しても正確には表せないため、Hex表示を用いる。
Acquire(取得)機能では、優れたアルゴリズム駆使し、機械的に動作不良を起こしているドライブのイメージを作成します。ドライブが部分的に動作不良を起こしている場合であっても、データを繰り返し解析することにより、可能な限り証拠の保全を試みます。
Salvage(復旧)機能では、削除されたファイルを検索し、ハードドライブ(Mac、Windows、Linux)、CD-ROM、外部ストレージデバイス、デジタルカメラ用メモリカード、iPod等々から失われたファイルを回復します。
Cataloging(カタログ)作成機能では、ディレクトリ構造を検索して、解析対象に合致するものだけではなく、すべてのファイルのカタログを作成します。カタログには、ディレクトリ構造に従って、すべてのファイルのリストが含まれます。また、個々のファイルについては、すべてのカタログ情報、MD5、SHA-1、SHA-256チェックサム、基本ファイル情報が表示されます。
「カタログ情報」は、ディスク上のディレクトリ等の情報を指します。MD5は、与えられたファイルに対して計算で導かれる128ビットのハッシュ値を示します。
「SHA」は、MD5の前身であるMD4を元に改良され、MD5よりも攻撃に強いと考えられています。SHA-1は、160ビット、SHA-256は、256ビットのハッシュ値を計算します。
「チェックサム」とは、広義には、誤り検出、改竄防止のためのこれらのハッシュ値も含めます。
「基本ファイル情報」には、ファイル名、ファイルサイズ、アクセス権所有権、ファイルタイプ、クリエータ等を含みます。
「ハッシュ値」とは、与えられたデータから計算で導かれ、元のデータの特徴を抽出した数値を指します。理論上は、異なるデータに対して、同じハッシュ値が出力される確率は非常に低くなっています。このため、このハッシュ値を記録しておくことで、将来、改竄されていないことの証明に使えます。
Bookmarking(ブックマーク)機能では、調査対象のファイルやフォルダへの素早いアクセスを可能にします。ブックマークされたファイルには、わずか数クリックで簡単にアクセスできます。
Log(ログ)機能は、証拠を保全するためのあらゆる操作の履歴と日時に関する詳細なログを記録します。ユーザ(調査担当者)は、ログ画面上で、調査日時、MacForensicsLab上でまたはMacForensicsLabにより実行された操作の日時、操作結果など、詳細かつ多岐にわたるログにアクセスすることができます。また、柔軟で、カスタマイズ可能なレポート機能を利用することにより、素早く簡単に詳細なレポートを作成することができます。
「MacForensicsLab」の操作は、非常に高度な機能を兼ね備えているにもかかわらず、簡易で直観的です。Mac OS Xユーザが馴染みやすいインターフェースに設計されており、操作自体はわずか数クリックで完了することができます。 | 
