プログラムの通信履歴を残す - @port139 Blog
皆さんの組織では、マルウェア感染したWindows PCが(組織内の)何処と通信したか?、を追跡できるログを取っていますでしょうか? 先日のプログラム実行履歴についてTwitterで呟いたところ「次のトピックはSysmonですねw」と Haruyama さんから突っ込みをいただいたので、Sysmon を利用したプログラムの通信履歴保存についてです(笑) プログラムの実行履歴はWindowsの監査機能を利用する事でセキュリティログに記録する事ができますが、プログラムが何処と通信したかは記録されていません。 いわゆる標的型攻撃、APT攻撃と呼ばれる攻撃では、マルウェア感染した機器を踏み台として、組織内の広い範囲への侵入や情報の搾取が行われます。 この為、被害範囲が広がっているのかを確認するには、マルウェア感染した端末が、何処と通信を行っていたのか?が重要な手がかりになります。 プログラムが何処
プライマリネットワークアダプタのMACアドレス - @port139 Blog
ObjectID に利用される MAC アドレスが、資料によるとプライマリネットワークアダプタという記述になっているんですが、プライマリがどの様に決定されているのかが今のところ不明だったりします。 とりあえず、プライマリネットワークカードなどの単語で検索してみると、詳細設定についての記述を発見。 Windows XP および Windows 2000 でネットワーク アダプタのバインドの順序を変更する方法 http://support.microsoft.com/kb/894564/ja 複数のネットワークカードが接続されているWindowsのデフォルト(プライマリ)ネットワークカードの設定方法 http://digital.ni.com/public.nsf/allkb/E7A6E8EB065B0CF0862573CB00086600 詳細設定の「アダプタとバインド」の項目では、“Eth
VHD差分ディスクのマウント - @port139 Blog
Windows 7 の XP Mode はデフォルトで、差分ディスクとしてユーザ用の VHD ディスクが下記パス上に作成されます。 ユーザー用の差分ディスク(デフォルト) C:\Users\ユーザー名\AppData\Local\Microsoft\Windows Virtual PC\仮想マシン\Windows XP Mode.vhd 親のVHDディスク C:\Program Files\Windows XP Mode\Windows XP Mode base.vhd 差分ディスクなので、差分ディスクをそのまま EnCase 上で Add Device かドラッグ&ドロップしても単なるバイナリディスクとしか認識しません。差分ディスクと、親の仮想ディスク(この場合には Windows XP Mode base.vhd )を事前に結合してからでないと中身を解析できないかなぁと考えていましたが
2008-08-21 - B-) の独り言 - 32MなexFAT領域
エントリ削除。 そういえば、Vista Sp1 から Extended FAT(exFAT)が追加されてますが、これってもともとはWindows Embedded CEとかから来てるんでしたっけ?調べないといけないなぁと思って、今日ふと思い出しました。 Extended FAT File System http://msdn.microsoft.com/en-us/library/aa914353.aspx フォレンジックツールで対応早かったのは、X-Ways Forensics ですが 14.7 でパーティション識別した以降はどうなっているかちょっと不明ですかね。 EnCase も対応したの聞いたことないんですけど、まだどこのツールも未対応状況なんでしょうかねぇ。 さて、問題はまず Vista Sp1 なテストマシンを用意しなければいけないわけですが・・・ ということで?USBメモリを
@port139 Blog
Note:I translated Japanese into English using Google Translate. Thank you, Google. There is a great article called “Windows Server Data Dedupliction and Forensic Analysis”. If you are interested in the Dedupliction feature, I recommend that you read it first. --- I used Windows Server 2019 and enabled the Data Deduplication function on volume F :. Day 0 is set so that deduplication is performed im
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Bluetooth ネットワークアダプタのMACアドレス - @port139 Blog
