タグ

ブックマーク / qiita.com/log0417 (2)

  • フォレンジック調査における保全手順(起動中のWindowsマシン編) - Qiita

    はじめに 前回の記事の続きです。今回は起動中のWindowsマシンに対する保全を行います。 主にWindowsを起動せざるを得ないケース、ディスク全体やパーティションが暗号化されている場合に採用する方法です。フォレンジックツールによっては暗号化された状態で保全しても、後から復号することもできるそうですが、記事の手順が最も簡単でしょう。OSが起動した状態での保全になるため、Chain of Custodyを厳密に要求される調査では使用できないかもしれませんが、一般的なインシデントレスポンスではほとんど問題にならないと思います。 FTK Imager Liteの準備 起動中のWindowsマシンに対して保全を行う場合、事前に保全用のツールをUSBメモリやHDDに用意しておく必要があります。このツールは保全先となるHDDに入れておくのが良いと思います。 保全にはFTK Imager Liteを

    フォレンジック調査における保全手順(起動中のWindowsマシン編) - Qiita
  • xzにバックドアが混入した件のまとめ(CVE-2024-3094) - Qiita

    記事は4月10日9:00(JST)時点で判明している事実をまとめたものです。誤りがあればコメントでお知らせください。 記事には誤りが含まれている可能性があります。 新しい情報があれば随時更新します。 4/10 9:15 キルスイッチの動作について追記しました。 4/2 18:30 Q&Aを追加しました。 4/2 11:30 実際にバックドアが存在する環境を作成し、攻撃可能なこと、出力されるログ等について追記しました。また、攻撃可能な人物は秘密鍵を持っている必要があることを追記しました。 ところどころに考察を記載しています。 事実は~です。~であると断定し、考察、推測、未確定情報は考えられる、可能性があるなどの表現としています。 またpiyokango氏のまとめ、JPCERT/CCの注意喚起もご覧ください。 なお、各国のCSIRTまたは関連組織による注意喚起の状況は以下のとおりで、アドバ

    xzにバックドアが混入した件のまとめ(CVE-2024-3094) - Qiita
  • 1