アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

Autopsy 4.4.1 タイムライン機能(2)

コンテナファイルの扱い ZIP や RAR ファイルのコンテナ内に存在するファイルのタイムスタンプ情報のタイムラインでの取り扱いについて。 『埋め込みファイルの抽出ツール』モジュールを実行している場合、ZIP や RAR ファイルなどについては、下記図のよう…

Autopsy 4.4.1 タイムライン機能(1)

Autopsy のタイムライン機能 Timeline http://sleuthkit.org/autopsy/docs/user-docs/4.4.1/timeline_page.html サンプルのイメージファイルとしては、マイクロソフト社が提供している仮想マシンのイメージを利用しています。ブラウザの履歴なども確認してい…

Autopsy 4.4.1 埋め込み文書のキーワード検索

埋め込みオブジェクトが含まれる文書 Autopsy のキーワード検索において、文書内にオブジェクトが埋め込まれている場合にどの様な扱いになるかを確認。 サンプルデータとして、Word文書(DOCX形式)内に、動画ファイル(MOV)、JPEGファイル(2件のうち1件は…

Autopsy 4.4.1 疑わしいファイル機能

Autopsy 4.4.1 のベータ機能テスト Autopsy には事前に定義した「疑わしいファイル」を探すモジュールがあり、オプションメニューからルールセットの作成ができる。 Interesting Files Identifier Modulehttp://sleuthkit.org/autopsy/docs/user-docs/4.4.1/…

Autopsy 4.4.1 リリース

リリースノートを参照 バージョン 4.4.1 の変更点は下記に記載されています。幾つか新たな機能追加があります。https://github.com/sleuthkit/autopsy/releases/tag/autopsy-4.4.1 Beta version of new central repository feature has been added for corre…

Autopsy 4.4.0 におけるキーワード検索(Stem)

Autopsy のキーワード検索で、Stem を利用した検索が可能かを確認。 サンプルデータは Content-Encoding: windows-1252 として認識されているテキスト ファイル。また、サンプル文字列として、solr.PorterStemFilterFactory で例示されている文字列パターン…

Autopsy 4.4.0 におけるキーワード検索(二つのタブ)

Autopsy には「ストリング」と「インデクス化されたテキスト」と二つのタブが存在する。PDF や DOCX ファイルなどの場合、ストリングとインデックス化されたテキストではそれぞれ異なるテキストデータが表示される。 下記画像では、PDFファイルを処理した後…

Autopsy 4.4.0 におけるキーワード検索(Standard Tokenizer)

メールアドレスやドメイン名の区切り方 AutopsyのSolr用スキーマファイル schema.xml には、solr.StandardTokenizerFactory が定義されており、Apache Solr の Standard Tokenizer の動作については、下記ページを参照することで内容を確認できる。 https://…

Autopsy 4.4.0 における文書ファイル・メタデータの扱い(パスワード付き DOCX)

パスワードが設定されているDOCXファイルのメタ情報 文書ファイル(DOCX)にパスワードが設定されている場合に、Autopsy の「キーワード検索」でファイルのテキストがどの様に処理されているか。 パスワードを設定したDOCXファイルを処理した後、「インデッ…

Autopsy 4.4.0 における文書ファイル・メタデータの扱い(DOCX)

Autopsy はキーワード検索用のテキストファイルの抽出に、Apache Tika を利用しているが、ファイル形式により抽出されるメタ情報が異なる。 Office 形式ファイルのメタデータに関する情報は下記 URL に取得項目について記載がある。 Interface MSOffice http…

フォレンジッカー向けの資格?

そもそも資格必要なの?という点は素朴な疑問としてあるのですが、資格取るなら何が良いのでしょうかね? デジタル・フォレンジック関連の資格・試験には様々なものがあるようです。コンピュータ・フォレンジックという観点では、下記記事では 6種類ほど比較…

フォレンジッカーって何するの?

スキルマップなどを眺めていると、フォレンジッカーって何するの?という疑問が出てきます。 NICCS:Workforce Development ❯ Cybersecurity Workforce Framework ❯ Digital ForensicsのTasksに記載されている項目を参照すると、色々と興味深い項目が多くあ…

フォレンジッカーに必要な知識?

NICCSのDigital ForensicsにおけるKSA(Knowledge, Skills, and Abilities)では、ナレッジとして約30個の項目が列挙されています。 ABC順に並んでいるようで、最初に出てくるのが「Knowledge of anti-forensics tactics, techniques, and procedures」とア…

フォレンジッカーのスキルセット?

日本国内においても、デジタル・フォレンジック(以降DFと省略)の人材育成に関するスキルセットとして幾つか資料が出てきています。しかし、それらを比較してみると、求められている内容にはかなり違いがあるようです。 (1) 産業横断サイバーセキュリティ人…

トレーニングにおける質問の有無

先日、FaceBookのタイムラインに下記記事が流れてきて、興味深く読ませていただきました。(元の論文までは読んでないのですが) 自分自身、講師を担当している時に「何か質問はありますか?」という事を言ってしまいますが、受講者が質問をどう考え・受け取…

Plaso Winjob パーサでタイムスタンプが+9時間ズレる件

Plaso 1.4.0 ベースの Log2timeline の winjob パーサですが、タイムゾーンの指定を正しく行わない場合、ジョブのスケジュールと実行日時が実際の時刻より +9 時間ズレて表示されます。 以下、Windows 10 環境上で、Plaso 1.4 ベースを実行しています。 log2…

Plaso Filestatパーサでタイムスタンプがズレる件

Plaso 1.4.0 ベースの Log2timeline ですが、Windows 7 環境上で実行すると、ファイルのタイムスタンプ情報が数秒ズレるという事象に悩んでいます。 具体的にはWindows 7 64bit環境で 32bit版の Plaso 1.4 を使い、filestat パーサでタイムスタンを作成した…

コピー手順におけるミスやトラブルからキーポイントを考える

デジタル・データの(正しい)コピー手順とキーポイントを考える際に、過去の失敗から何か学ぶ事ができるのか?と思い整理してみています。 小ネタとしてお話するには良いかもしれませんが、こういった事に注意してください!!と手順書に書いたところで意味…

プログラムの通信履歴を残す

皆さんの組織では、マルウェア感染したWindows PCが(組織内の)何処と通信したか?、を追跡できるログを取っていますでしょうか? 先日のプログラム実行履歴についてTwitterで呟いたところ「次のトピックはSysmonですねw」と Haruyama さんから突っ込みを…

プログラムの実行履歴を残す

皆さん、プログラムの実行履歴って取られてますか? Windows が標準で搭載している監査機能を利用すると、プログラムの実行をセキュリティログに残す事ができます。 具体的にはローカルセキュリティポリシーなどで、「プロセス作成の監査」を有効にすればイ…

ホワイトリストによる通信制限

マルウェアへの感染が発覚した場合、該当端末を一時的にネットワークから隔離し、その後、より詳細に調査を行うという手順が一般的に取られるかと思います。 明確な対応手順が決まってない組織では、ネットワークからの隔離後に色々と操作をしてしまい、せっ…

メールの添付ファイルを実行禁止にする

年金機構における標的型攻撃による情報漏えい事件を受け、様々な組織で同様のウイルス、マルウェアへの感染が無いか、一斉に点検や対応が行われているようです。 報道発表によれば、一連の攻撃で使われたマルウェアは Emdivi と呼ばれているマルウェアという…

雑談:neuro:on ってやはり詐欺なの?

睡眠時間が短くて済みますって宣伝文句に釣られてしまい、プレオーダーで注文してしまったのが1月12日のこと。 その翌日、やはり思い直して1月13日にキャンセルのメールを送ったんですけど、返事がないので時間を空けつつ、6回目 1月30日にやっと下記のメー…

ブラウザ キャッシュ痕跡を上書きする仕組みが使われたケース

いわゆる、PC遠隔操作事件の中で誤認させる為に?使われた手法には、デジタル・フォレンジック調査で対象になってくる「ブラウザの履歴やキャッシュ情報」について考慮されている部分があります。 【PC遠隔操作事件】ラストメッセージ全文(下)(江川紹子) -…

例題「電子メールに添付されたマルウェア」に感染を分解する

例えばトレーニングで「電子メールに添付されたマルウェアに感染」したケースを説明しなければいけないとします。 受講者が事前に学習する必要がある項目には何があるのでしょうか?、関連する技術要素として、どこまで事前に知っている必要があるのか?とい…

2015年時点での自分的 EnCaseスキルセットを棚卸し(2)

基本的な処理(調査を開始する前に行う下ごしらえ?と言えるのかもしれませんが)に関する項目は以下でしょうか。 主にはファイルの種類を特定したり、既知ファイルを除外する、検索を行い関連するデータを特定するといった部分になり、アーティファクトのパ…

2015年時点での自分的 EnCaseスキルセットを棚卸し(1)

EnCase を使い始めてかなりの年数が経過していますが、他のツールも使うようになりつつあるので、一度 EnCase に対して(自分にとって)必要な項目を棚卸ししてみたいと思います。まずは、データの取得から表示辺りまで。 ■インストール・設定・ケース作成 …

2015年に取り組むにはちょっと出遅れかもしれないテーマ SQlite3 と Cloud

すでにエッジな話題ではなく、ツールなども充実してきているのであまり斬新な分野ではないですが、もし今年からデジタル・フォレンジック始めました!みたいな若者に「これやっとけ」と言うなら、個人的には SQlite3 でしょうかね。 まぁ、正直あまりいけて…

Windows レジストリ アーティファクトの参考書籍、2015年ならどれ?

Windows レジストリのアーティファクトについて良い本はないですか?という質問も良くいただく質問だったりしますが、日本語の書籍や関連資料ですぐに思いつくものがなく、良い回答が出来ていないと個人的に感じている部分だったりします。 Windowsのレジス…

2015年でも文字コードの書籍を読むべきか?

デジタル・フォレンジック関連では、海外で作られた製品やツールを利用する事が多く、これまでいわゆる「文字化け」にはかなり苦労させられてきました。*1 とはいえ、2005年頃と比較すれば、解析対象データの多くが UTF-16 や UTF-8 になってきている事もあ…

2015年でもお薦めとしたのは、2005年と変化なし?

改めてリストアップした書籍や映画ですが、基本的には 2005年頃にセキュリティ・キャンプの参加者へ紹介した内容と変化していません。技術的な部分ではもちろん色々と進化していますので、最近出ている書籍でもっと適したものがあるかもしれません。 今更昔…

2015年でもお薦めしたいインシデント・レスポンス参考書籍?

インシデント・レスポンス系の書籍は最近読んでないので、正直何がよいのか分からないのです。 個人的には下記書籍で色々と勉強させていただきました。2002年の書籍ですので、コマンドとか今では参考にならないかもしれません。とはいえ、考え方とかは参考に…

2015年でもお薦めしたいファイルシステム参考書籍?

ファイルシステムに特化した部分ですと、やはり読むべき書籍はこれですよね。高いのと英語版しかないので、若者は会社に参考書籍として買ってもらうといいかもしれません。 File System Forensic Analysis 作者: Brian Carrier 出版社/メーカー: Addison-Wes…

2015年でもお薦めしたい参考書籍?

最近、デジタル・フォレンジックをお仕事で担当する事になった方々などとお会いした際に、どの様な書籍を読むと良いのか?という質問をよくいただきます。 今からデジタル・フォレンジック分野を学ぶ際、どのような書籍から入るのがよいのか?という点では、…

sqlparse v.1.1 を試す(2)

引き続き、sqlparse v.1.1 のテストを行ってみます。 昨日はページ内の削除レコードを検出する部分を試したわけですが、ページ内での上書きが発生した場合やページ再利用時にどうなるかテストしてみます。 まず、昨日と同じくサンプルのデータベースファイル…

sqlparse v.1.1 を試す

SQLite の削除データをパースするツール sqlparse v.1.1 を試してみたいと思います。 sqlparse v.1.1https://github.com/mdegrazia/SQLite-Deleted-Records-Parser/releases/tag/v.1.1 コマンドライン、GUI、Python スクリプトが提供されていますが、今回は …

雑談: 転職して一カ月

前職を 7/31 付で退職してから、新たな会社に入ってやっと一カ月が経過しました。 劇的に変わった事といえば日々スーツになった事がありますが、仕事内容としては今のところまだまだ見習い状態です(笑) 転職したことをご報告していなかった方々に急に遭遇…

Android の自動バックアップ(写真や動画)

Android のバックアップについては下記 URL で説明されていますが、写真や動画、については自動バックアップの設定を行う事ができます。 データをバックアップ、消去するhttps://support.google.com/nexus/answer/2819582?hl=ja 自動バックアップのオン/オフ…

Android のマルチユーザと adb backup (2)

Android のマルチユーザー機能に関連して「制限付きプロフィール」というユーザーを作成する事ができます。このユーザーは、Owner と同じ Google アカウントなどを使用しつつ使えるアプリケーションを制限したりする事ができます。ぺレンタルコントロールな…

Android のマルチユーザと adb backup (1)

AVD 上の Android でマルチユーザーを設定し、adb install コマンドで LINE をインストールしてみました。Owner と新しいユーザーの両方から LINE アプリケーションを起動する事ができますが、それぞれアプリケーションデータの保管場所は異なっています。 …

マルチユーザーのAVDを作成する

手元の Android 端末(Xperia Z Ultra)は、マルチユーザーに対応していませんので、マルチユーザー環境で adb backup がどの様に動作するかテストできません。 その為、SDK の Android Virtual Devie(AVD)を使い、エミュレータ上にマルチユーザー環境を作…

Android_ID の確認と LINE のリストア

adb backup でバックアップしたアプリケーション(例えば LINE)のデータを、adb restore で(エミュレータ上の仮想Androidへ)リストアすると、アプリケーションがエラーで起動しなくなります。 この点について、Android_ID が異なる影響を受けるといった情…

Android で LINE のバックアップをリストアする

adb backup を使えばアプリケーションのバックアップを取ることができ、バックアップしたデータは adb restore コマンドを使うことでリストアできます。 通常はバックアップを取得した実機へバックアップデータをリストアする事になりますが、いま使っている…

Android で LINE のバックアップを作成する(2)

LINE の標準機能によるトークのバックアップですが、[すべてバックアップ]を使ってバックアップを取ってみたいと思います。 バックアップの選択で[すべてバックアップ]を選択した場合、画面上に以下のようなメッセージが表示されます。 トーク履歴ファイル…

Android で LINE のバックアップを作成する(1)

adb backup でアプリケーションのバックアップを取るのではなく、アプリケーションが個別に持っているバックアップ機能によりバックアップを取ることも出来ます。 例えば LINE であれば、指定したトークルームのメッセージをバックアップする事が出来ます。 …

adb backup で Android 端末のバックアップを作成する(14)

adb backup では個別のファイルを指定してバックアップを取ることはできません。adb コマンドには pull コマンドがありますので、個別ファイルは adb pull コマンドを使うことで取得できます。 しかし、コマンドラインから対象ファイルのフルパスを指定する…

adb backup で Android 端末のバックアップを作成する(13)

Androidデバイスの内蔵ストレージとSDカードのデータをバックするのに、adb backup -shared オプションを使わずとも、PC に USB ケーブルで MTP(Media Transfer Protocol) モードで接続すれば Windows 上のエクスプローラから簡単にアクセスすることができ…

adb backup で Android 端末のバックアップを作成する(12)

Content Provider 経由でアクセス可能な標準的なデータのバックアップを取る方法として、アプリケーションをインストールし、アプリケーション経由でデータをコピーする方法も案としてはあります。 HOWTO: Use AFLogical OSE for Logical Forensics of an An…

adb backup で Android 端末のバックアップを作成する(11)

adb backup で取れないデータについても、Content Provider 経由でデータをバックアップする事ができる場合があります。 Facebook のほうで知ったのですが、adb shell conetnt コマンドというものがあり、このコマンド経由でアクセスする事が出来るようです…

adb backup で Android 端末のバックアップを作成する(10)

adb backup コマンドによるバックアップでは、root を取得しているわけではありませんので、バックアップされていないデータも存在するようです。基本的な部分として、SMSやカレンダー、コンタクトが含まれてこないと下記では注記があります。 Full Backup o…