JSAC2020_kawasaki_jp
MAC FORENSICS macOS fast forensics https://www.sans.org/security-resources/posters/dfir/windows-forensic-analysis-japanese-translation-185 ( T T ) ( I • Mac Forensics ü ü 40 ü ü High Sierra (APFS) • Introduction • • • • APPENDIX • Introduction • • • • APPENDIX INTRODUCTION • Motive( ) ü Mac Forensics ( CLI ) Ø Mac Forensics kanireg ( ) Ø ( ) INTRODUCTION • How & What ( ) ü python3 mac ØTriage tool
メモリダンプについてのまとめ - 拾い物のコンパス
このエントリで紹介したコマンドの一部は高確率でOSがクラッシュします.行う際は自己責任でお願いします. マルウェア解析に使われるメモリダンプはどのように作成されるのかを調べたメモを書き残す. 結論として,Windowsはやり方が多い(設定をいじってからOSをクラッシュさせる,キーボードやスイッチから割り込みをかける,ツールを使う).Linuxはgrub(RHELのみ)の設定をいじる,ツールを使うことで取得できる.macについてはほとんど調べていないが,一部ツールは対応していた.いずれの方法でもOSがクラッシュした時と同等の影響がある. 注意点としてはメモリダンプツールとして公開されているプログラムの一部に現在は使えなさそうなものもあった.調べるだけでやる気が尽きたので,具体的な使い方までは網羅できていない. 疑問 近年のマルウェアは物理メモリにのみ存在し,電源が切れると一緒に本体も消えてし
)
The NTFS File System
Note Windows 2000, like Windows NT 3.51 and Windows NT 4.0, supports file compression. Since file compression is not supported on cluster sizes above 4 K, the default NTFS cluster size for Windows 2000 never exceeds 4 K. For more information about NTFS compression, see "File and Folder Compression" later in this chapter. Boot Sector The first information found on an NTFS volume is the boot sector.
MBR(Master Boot Recode)
MBRはHDDの先頭セクタ(cylinder 0, head 0, sector 1の位置)に512byte書込まれていて、各パーティションの先頭セクタに存在するPBRを読出すための小さなプログラムと各パーティションのディスク情報が含まれています。 各パーティションの先頭セクタに存在するPBRがOSに依存するのに対して、MBRはOSに依存しない構成になっているます。人によってはLILOやGNU GRUBまたは自作のローダーが書込まれマルチブート可能な環境になっているかも知れません。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
MDwiki
Download Cradles
FotoForensics
http://www.youtube.com/playlist?list=UU2g4Odx8eF3e7MP1CCFUu-Q
