はてなブックマーク

1/12 の勉強会で WinDBG の使い方なども教えていただいたので忘れないうちにメモしておこう。 とりあえず、VMware 環境に Windows XP Sp2 を用意し、古典的な rootkit ということで Hacker Defender をインストールする。これで INI ファイルに定義されている文字列を持つプロセスやファイルなどは見えない状態になる。次に、win32dd でクラッシュダンプファイルを作成し、これを WinDBG で読み込んで解析開始。 ちなみに、こんなややこしいやり方をしなくても、Hacker Defender は一般的なウイルス対策ソフトでもっと簡単に発見できるはずなのでまぁ演習ということで。 とりあえず現在のプロセスリストを表示してみる。コマンドは「!process 0 0」で実行。!process 0 7 にすると詳細に表示されるがかなり時間がかかるようだ

Office 2003 の Word に、BMP や GIF、JPEG などの画像データを貼り付けた場合、画像の形式によっては PNG に変換されてデータが保存されているんですね。文書ファイルからデータをパターンで抽出する方法についてご質問をいただいて、少し確認してみたのですが、てっきりそのままバイナリデータが DOC ファイル中にあるのかと思ったら違ってました(^^;; 気になったので少し調べてみたところ、以下の情報があったのでメモ。 Wordの.DOCファイルから高解像度の画像データを取り出す http://www.atmarkit.co.jp/fwin2k/win2ktips/945hipic/hipic.html Word内に挿入した元の画像を取り出したい http://tacomakix.blog.so-net.ne.jp/2005-06-28 Word 2007の.DOCXファ

複製装置に消去機能が付いていることが通常ですが、消去作業に複製装置を使ってしまうと、他の仕事に影響が出るかもしれないのと、どうせ消すだけですので Drive eRazer のように単独で実行できるお手軽なのがあると便利ですかね。 Drive eRazer Pro http://www.wiebetech.com/products/Drive_eRazer.php まぁ消去できるならなんでも良い気がしないでもないですが、Drive eRazer Pro では "Secure Erase" に対応しているので。ただ、消去方法に細かい指定がある場合には、もっと専用の装置とかのほうがいいかもしれません。 いずれにせよ、ソフトでやるより機械でやらせるほうが消去時間は早いはずですが。 個人的には Wiebetech の製品では色々欲しいのがあったりします。 これ↓さしておくと、スクリーンセイバーとかの

13日の開講式から14日終日参加し、今年は解析クラスの「ハードディスク解析」というのを担当してきました。 いやぁ、2日間ではぜんぜん物足りないですね（笑）。もっと参加していたかったのですが、お仕事の都合もあり今日から会社に戻っているんですが、それでも相変わらずの過酷なキャンプで疲れました(^^;; 解析コースは 9名の参加者でしたが、参加者の名前を覚えるのが大変だったりしたのですが、ギリギリ全員の名前を覚えてから帰った感じです。きっと今頃は mrkm 鬼教官にしごかれていることでしょう。 ちなみに、上記演習を参加者自由で勉強会というか演習会でもやってみる〜とか言ったら参加する人いるんですかね？会場手配とかもろもろ面倒なのはやりたくないんだけど（笑）

H. Carvey 氏*1が RegRipper Basic edition 2.0A をリリースされていますね。 http://sourceforge.net/project/showfiles.php?group_id=164158 Ripping the Registry w/ rip.exe http://windowsir.blogspot.com/2008/04/ripping-registry-w-ripexe.html レジストリからデータを抽出するためのツールですが、フォレンジック調査方面でもいろいろ役立つツールだと思います。 手元で簡単に試してみましたが、コマンドラインから操作する rip.exe と GUI で操作する rrb.exe とプラグイン類から構成されており、プラグインによりレジストリ上の各種データが抽出、レポートファイル（テキスト）としてまとめられるようで

昨日の日記コメントで、けんさんに教えていただいた CmdLine ですが、このツールだと svchost.exe のパラメータまで取得できるんですね〜これは便利です！ どのサービスを起動している svchost.exe なのか確認しやすい。 CmdLine http://www.diamondcs.com.au/index.php?page=console-cmdline 実行例：RPCサービス(rpcss) C:\temp\cmdline>cmdline.exe -pid:792 792 - C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost -k rpcss winmsd では svchost.exe の実行は確認できても、どのサービスを起動しているのかわからなかったんですよねぇ。 dd でディスクイメージを作成してい

9/25〜9/28 まで中央大学の“IRIF実践講座”に参加していました。参加された皆さん、5日間お疲れ様でした。 次回は、2月か3月にある予定ですが、この講座もそこで終了となる予定です。同じイメージを解析しているのに毎回新たな発見があったりと、個人的にも楽しませていただいています。 毎回、反省点として資料をもう少しなんとかしたいなぁという思いはあったりするのですが、手がついてない状況で、次回で終了となると、このままの可能性が高いですね（^^;; 実践講座の最中に、塩月さんから USB メモリを NTFS でフォーマットする方法を教えていただいたので、忘れないうちにメモしておきます。 Windows XP のディスク管理ツールなどで、USB メモリをフォーマットしようとすると、選択肢に NTFS が表示されないので、NTFSでフォーマットできないかを以前調べたことがあったのですが、結局わか

Word 2007のデフォルトでは Docx(Open XML）形式でデータを保存しますが、ファイル内容が圧縮されている*1ので、バイナリパターンで文字列検索を実施しても検索対象の文字列は圧縮されちゃってるのでひっかかりませんね とりあえず関連URLをメモ。 Microsoft Office (2007) Open XML ファイル形式の概要 http://www.microsoft.com/japan/msdn/office/2007/ms406049.aspx Word、Excel、および PowerPoint 2007 用ファイル形式互換機能パック http://office.microsoft.com/ja-jp/products/HA101686761041.aspx 以前のバージョンの Office での Word 2007、Excel 2007、および PowerPoint

ITProの「今週のSecurity Check(第176回)」という記事を読んで、揮発性の順序やコマンドが人によって違うもんだなぁと改めて思ったのでちょっとメモしてみたり。 「Windowsマシンへの不正アクセスを発見」---そのとき，どうする？ Windowsにおける証拠保全の具体的手順 http://itpro.nikkeibp.co.jp/article/COLUMN/20060831/246898/?ST=security 揮発性情報と、揮発性情報の取得を行う際の順序については、上記記事でも紹介されている RFC 3227 証拠収集とアーカイビングのためのガイドライン、に記述されています。 揮発性の高い情報、つまり時間の経過と共に消えていく情報に対して、情報が消える前に情報を取得しなければいけないので、その順序は消えやすいものから優先してということですやね。 本題とはずれるんです

Windows XP/Server 2003 には、アプリケーションの起動を高速化させる目的でプレフェッチ*1機能がありますが、これはフォレンジック調査でも興味深い機能だったりします。 Microsoft Windows XP パフォーマンス http://www.microsoft.com/japan/technet/prodtechnol/winxppro/evaluate/xpperf.mspx Windows XPとは何か？18．アプリケーション起動の高速化 http://www.atmarkit.co.jp/fwin2k/special/winxp_over/winxp_over_19.html 簡単に説明すると、XP上でプログラムを実行するとプレフェッチ用のフォルダ（例:C:\WINDOWS\Prefetch）に「実行ファイル名-16進数番号.pf」というファイルが自動的に作成

今頃かよ！という噂もありますが、前々回*1のセキュ蕎麦の資料を以下の URL に置きました。*2 Time Stamp vs Time Stomp http://forensics.sakura.ne.jp/PPT/20051105-soba-ihara.pdf Metasploit Anti-forensics homepage で公開されている timestomp というツールの影響と、NTFS でタイムスタンプを記録している『$STANDARD_INFORMATION (0x10)』と『$FILE_NAME (0x30)』の関係について簡単に調べてみたものです。 *1:残念ながら今回のには参加できなかった・・・ *2:っていうか、すっかり忘れていたのを、tessy さんのところを読んで思い出したしだいですが・・・ timestomp はフォレンジック調査においてタイムスタンプが使われ

2005年9月5日に開催された、第二回 調査技術ゼミ『 暗号化とフォレンジック調査 』の PDF 資料をネットエージェントの Web で公開しています。 ・ハードディスクパスワード ・フォレンジック・イメージ作成の手順 http://forensic.netagent.co.jp/lecture/index.html この資料のうち、「フォレンジック・イメージ作成の手順」に関するメモを忘れないうちに書いておきます。 今回は、ハードディスク全体が暗号化されていたり、暗号化ファイルをボリュームとしてマウントしている状況で、フォレンジック・イメージを作成するにはどのようなアプローチを取ることができるのか？を主なテーマとして扱っています。 当たり前のことですが、まともな暗号化製品を使っている環境下で無理やり平文でイメージを取得できる魔法は恐らくありませんので、暗号化ツールが持っているリカバリ処理を