Yet Another Registry Utility (yaru) yaru is a platform independent Windows registry viewer. Inspired by the desire to look into the Windows registry metadata, so as to better forensically analyze the registry hives, yaru was designed with a portable and extensible architecture in mind so that it could be compiled to run on various operating systems. The registry parsing engine is written in standa

Code Archive Skip to content Google About Google Privacy Terms

これは何？ 指定したディレクトリ内のファイルについて、サイズや属性、ファイル作成日時/変更日時/最終アクセス日時、 プロパティ（説明、バージョン、コピーライト/トレードマーク等）をタブ区切りで出力する コマンドラインツールです。サブディレクトリ以下を再帰的に探索することも可能です。 リダイレクトしてファイルに出力し、Excelなどで加工してください。 Usage: fileprop [オプション] [ディレクトリ名] /S サブディレクトリを探索する /F ファイル名を絶対パスで表示する /I 属性を表示する /Tc ファイル作成日時を表示する /Tm ファイル変更日時を表示する /Ta ファイル最終アクセス日時を表示する /Z ファイルサイズを表示する /Pc プロパティのコピーライトを表示する /Pt プロパティのトレードマークを表示する /Pm プロパティのコメントを表示する /Pk

Back in July I gave a talk at OMFW about extracting timeline data from a memory sample using the Volatility framework. Now has come the time to release the plugins that came along with that talk. In addition to the plugins I have included a whitepaper on how these plugins were created and used. It is released more in hopes that people will see how to use the framework and be able to write their ow

An Examination of the Windows™ 7, 8/8.1 or 10 MBR ( Master Boot Record ) [Also embedded in vdsutil.dll, winsetup.dll and various other System files ] Web Presentation and Text are Copyright©2011, 2015 by Daniel B. Sedory NOT to be reproduced in any form without Permission of the Author ! This page examines the Windows 7, 8/8.1 or 10 MBR code; it's the same exact bytes for all of these OS versions.

License CAINE and WinTaylor and the Windows Side tools are free software; you can redistribute CAINE and/or modify it under the terms of the GNU Lesser General Public License as published by the Free Software Foundation; either version 2.1 of the License, or (at your option) any later version. CAINE and WinTaylor and the other Windows Side tools are distributed in the hope that they will be useful

Volume Shadow Copy(VSS/VSC)には以前のデータが格納されているため、重要な調査箇所です。 しかし、マルウェアによっては意図的にShadow Copy(SC)を削除することが報告されています。例えば以下の事例では、重要なファイルをSDeleteで削除した後にwmicコマンドを活用してSCを削除しています。 CRYPVAULT: New Crypto-ransomware Encrypts and “Quarantines” Files http://blog.trendmicro.com/trendlabs-security-intelligence/crypvault-new-crypto-ransomware-encrypts-and-quarantines-files/ また、以下ではvssadminコマンドを実行してSCを削除することが報告されています。 情報

Overview OSFMount allows you to mount local disk image files (bit-for-bit copies of an entire disk or disk partition) in Windows as a physical disk or a logical drive letter. You can then analyze the disk image file with PassMark OSForensics™ by using the physical disk name (eg. \\.\PhysicalDrive1) or logical drive letter (eg. Z:). By default, the image files are mounted as read only so that the o

About extundelete extundelete is a utility that can recover deleted files from an ext3 or ext4 partition. The ext3 and ext4 file systems are the most common default file systems in Linux distributions like Mint, Mageia, or Ubuntu. extundelete uses information stored in the partition's journal to attempt to recover a file that has been deleted from the partition. There is no guarantee that any part