Webメールのアーティファクト - @port139 Blog
恐らく主に米国で提供されているサービスを主としてパターン定義されていると思いますが、Gmail や Yahoo、HotmailのWebメールのアーティファクトを検索するツールとして、IEF(Internet Evidence Finder)というツールがあるので、週末の FNG10 向けに評価版を動かしてみたりしています。 Internet Evidence Finder v3.3.0 http://www.jadsoftware.com/go/?page_id=141 試用版では10項目だけしか表示することができないのでまだ詳しく確認できていないのですが、対応している項目には興味深いものが色々とあります。例えば項目としては「IE8 InPrivate/Recovery URLs」とか書いてあるので、一瞬“をっ!”とか思ったりするのもあるのですが、実際のところは... 検索対象としては、ハ
コンピュータフォレンジクス技術解説 無料セミナーの資料公開 - @port139 Blog
12月4日(金)に開催された会社のセミナー資料が公開されました。それぞれの資料は下記ページのリンクから辿ることができます。 コンピュータフォレンジクス技術解説 無料セミナー http://www.ji2.co.jp/forensics/seminar.html http://www.ji2.co.jp/forensics/seminer/20091204/ 自分が担当したところは別途クイックリファレンスを参照しながらの説明なのと、VSS のデモ用に作成した AVI ファイルも一緒に公開していますが、音声とか説明が一切入ってないので、これだけ見ても何のこっちゃわからないかもしれません。 RegDog は隣の席の人がいま一生懸命デバッグ中ですので、近日中には新しくなるみたいですけど、メモリ解析用の EnScript ファイルは、ツールページとかで最新版に更新されています。
2006-03-25
Windows XP/Server 2003 には、アプリケーションの起動を高速化させる目的でプレフェッチ*1機能がありますが、これはフォレンジック調査でも興味深い機能だったりします。 Microsoft Windows XP パフォーマンス http://www.microsoft.com/japan/technet/prodtechnol/winxppro/evaluate/xpperf.mspx Windows XPとは何か?18.アプリケーション起動の高速化 http://www.atmarkit.co.jp/fwin2k/special/winxp_over/winxp_over_19.html 簡単に説明すると、XP上でプログラムを実行するとプレフェッチ用のフォルダ(例:C:\WINDOWS\Prefetch)に「実行ファイル名-16進数番号.pf」というファイルが自動的に作成
2009-09-17
ご存じの方も多いとは思いますが、フォレンジック調査で使えるレジストリの解析ツールとして、RegRipper というツールがあります。 本家 RegRipper では、プラグインファイルによってはレジストリ(キーまたは値)に含まれている日本語文字列が化けてしまうことがあります。また、プラグインが参照しているレジストリキーの名前が、“Save As”のように英語版を基準に記述されているケースもあり、日本語版ではレジストリキーが“名前を付けて保存”のように文字列パターンが異なっているケースでは、期待している値を正しく取れない状況が発生します。 そこで、本家RegRipperのプラグインをベースに、日本語などマルチバイトでも扱えるように隣の席の人に .NET Framework 版を作成していただきました。*1まだ完全版ではなく、プロトタイプに近いものですが、手元での検証ではそれなりに不具合も潰れ
2009-09-16 - B-) の独り言 - Windows PEの稼働時間
古いバージョンだと24時間制限(再起動がかかる)という記載があったのでてっきり24時間だと思っていたのですが、最近のバージョンでは「72時間」になっているんですね。 http://technet.microsoft.com/ja-jp/library/dd799308(WS.10).aspx 海賊版オペレーティング システムとしての使用を防ぐために、Windows PE は、連続して 72 時間使用すると自動的にシェルの実行を終了して再起動します。この時間は変更できません。 まぁフォレンジック用途だとしても72時間も動けば大丈夫な気がしますが、うっかり古いバージョンを使うと24時間で再起動がかかって泣くことになったりするんでしょうか(^^;; とりあえず再起動がかかった時の動作がどうなるか確認したかったので連続稼働テストを実施中。
2009-08-25
exFATのディレクトリエントリは、1レコード16バイト長、先頭バイトの値でタイプが示されており、一般的なファイルなどは、それぞれ 85, C0, C1 というタイプの順序で並ぶということみたいですね。 例えばこれはDesert.jpgというファイルのexFATにおけるディレクトリエントリになります。 0x85で開始されるレコードは、「exFAT構造解析」によるとFileAttributes1(ファイル属性1)として、属性値やタイムスタンプを保持するレコードということのようです。 85 02 CC 37 20 00 00 00 8B 88 14 3B 8D 6E EE 3A 8B 88 14 3B 6F 00 A4 A4 A4 00 00 00 00 00 00 00 タイムスタンプには作成日時が二カ所あることになっているのですが、分解能などはもう少し調べてみないといけないところです。CW
2009-08-24
前回 exFAT をテーマにした時には、フォレンジック系のツールで対応しているものが少なく、とりあえずバイナリエディタを利用してファイルシステムを追いかけたのですが、流石にちょっと大変だったわけです。当時はEnCaseもexFATに対応しておらず、現時点でも exFAT に対応しているフォレンジックツールは少ないです。オープンソースのTSKとかもまだ未対応状態ですので、exFAT がお相手として出てくるとフリーなものだけで何かとやるのは大変そうです。 EnCase ではバージョン 6.14 以降から exFAT がサポートされるようになっていますので、今回の FNG では 6.14.1 という最新版でのチャレンジとなります。手元では全然テストできていなかったので、まずは Windows 7 をインストールし、USB メモリ 2GB の領域を exFAT でフォーマットしたものを用意してのチ
2008-12-16
「Win32ddなどでメモリダンプした場合と、クラッシュダンプでダンプファイルを作成した場合で、取得できる情報に差異があるのか?」というご質問をいただきましたが、勉強不足で不明な部分もあるので後から調べるようにメモ。 スライドに入れてなかったのですが、OSの管理外領域のメモリと言えばよいんでしょうか?、を RAM ディスクとして利用可能なツールとしては Gavotte Ramdisk が有名みたいですね。 Gavotte Ramdisk まとめWIKI - トップページ http://www10.atwiki.jp/gavotterd/ Gavotte RamdiskでWindowsXP 32bit メモリ4G越え!! http://d.hatena.ne.jp/sona-zip/20080509 【特別レポート】32bit Windowsの管理外領域をRAM Diskに使う http:/
2008-11-06 - B-) の独り言 - Word に張り付けた画像データ
Office 2003 の Word に、BMP や GIF、JPEG などの画像データを貼り付けた場合、画像の形式によっては PNG に変換されてデータが保存されているんですね。文書ファイルからデータをパターンで抽出する方法についてご質問をいただいて、少し確認してみたのですが、てっきりそのままバイナリデータが DOC ファイル中にあるのかと思ったら違ってました(^^;; 気になったので少し調べてみたところ、以下の情報があったのでメモ。 Wordの.DOCファイルから高解像度の画像データを取り出す http://www.atmarkit.co.jp/fwin2k/win2ktips/945hipic/hipic.html Word内に挿入した元の画像を取り出したい http://tacomakix.blog.so-net.ne.jp/2005-06-28 Word 2007の.DOCXファ
2008-10-27
カーネルモードのデバイスドライバのロード方法や状況確認などを確認するのに、何か良いツールやら情報ないかなと思い、「Windows Vista カーネルソフトウェア開発技法」をぺらぺらめくりながら色々と検索しているところなのですが、いくつかメモ。 DriverWalker http://www001.upp.so-net.ne.jp/yamashita/product/dw/dw3.htm Driver Verifierを使用してWindowsドライバをトラブルシューティングする方法 http://www.windows-world.jp/ms_support/-/67929.html Windows Driver Model http://ja.wikipedia.org/wiki/Windows_Driver_Model 脱線して見つけたのでメモだけ Physical Address E
2008-09-07
8/29にこっそり?やった演習会ですが、結局 exFAT をなんとなく解析してみるというまったりした会になりました(笑) 反省点としては、exFAT のイメージを共有する仕組みがなかったので、参加者で同じイメージ見たり、ツールが共有できるような仕組みがあったほうがよかったかなぁと考えています。HUB とケーブル、ファイルサーバ的なものがあればよいかもしれませんね。 あと、画面出すのにプロジェクタを共有とかできると、人の解析中の画面とかも表示できてよさそうな気がしますが、画面の共有って何か簡単に使える仕組みあるんでしょうかね。ようは発言者の画面をプロジェクタに写したいわけですが、ケーブルを切り替えるのが面倒っていうか・・・ Vista Sp1で搭載された exFAT を確認している中で、デフォルトのクラスタサイズが幾つなのか?という話題になりました。FAT/NTFSのデフォルトクラスタサイズ
VDKで exFAT イメージをマウント - 2008-09-08 - B-) の独り言
8/29の演習会の最中に、FAU の dd.exe を使って作成した USB メモリの exFAT パーティションのイメージファイルを、編集してから USB メモリに書き戻すって作業をしようとしていたのですが、ukky3 さんに VDK でやれば書き戻さずにそのままマウントしてテストできるから簡単!と教えていただいたのでやり方を忘れないうちにメモ。 VDK は Windows Vista でも動くってことで、とりあえず手元の Vista Sp1 な環境へダウンロード。 Virtual Disk Driver Version 3 http://chitchat.at.infoseek.co.jp/vmware/vdkj.html#top インストールは vdk install とすればよいだけなので簡単。 さて、FAU の dd.exe でとりあえず USB メモリ上にある exFAT の領
メモリダンプと解析ツール HBGary - @port139 Blog
昨日、GSI とのミーティングで、『CEIC の会場で HBGary をぜひ見てこい!』といわれたのですが、なんのこっちゃと思って調べてみたらこれですね。 HBGary http://www.hbgary.com/ 製品自体は Responder Professional と FE(フィールドエディション)から構成されるようですが、フリーツールとして FastDump という稼働中システムのメモリダンプに特化したプログラムがあるようです。*1 おぉ!と思ってサイトを探してみているのですが FastDump がどこからダウンロードできるのかわからない...まぁこれは会場でぜひ入手方法を聞いてみようと思ってます。*2 *1:デモの動画ではWindows XPでメモリダンプしてますが、Vistaとかメモリへのアクセスが厳しくなっているので、対応しているのかちょっと確認が必要ですかね *2:ニュー
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
第二回 コンピュータフォレンジクス技術解説 無料セミナーの資料公開 - B-) の独り言