@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

Registry MinerとTime stamp

Registry Miner を利用し、レジストリファイルからタイムスタンプを採掘します。 サンプルのSYSTEMハイブに対して、Registry Miner を実行します。”starting timestamp”で指定した日時以降の、タイムスタンプを含むキーや値が採掘されます。 # ./registry-mi…

LNK と Time stamp (FAT date and time)

LNKファイル内のShell Itemに含まれる、タイムスタンプ形式を確認します。 LEcmdを利用し、LNKファイルに含まれるタイムスタンプを確認します。フォルダCaseと、P1060117.jpgのタイムスタンプ情報を確認できます。 「LNKとShell item」を参考に、Caseフォル…

LNK と Property Store

LNKファイルのProperty Store構造を確認します。 サンプルJPEGファイルを準備します。このJPEGファイルはEXIF情報を含んでいます。 サンプルJPEGファイルのショートカットを作成します。 作成したショートカットファイルを LEcmd でパースし、Property store…

LNKとShell item

LNKファイルのShell item構造を確認します。 USBメモリ上にある、Example.jpgを参照し、RecentフォルダにLNKファイルを生成します。 Windows Shortcut File format specification を参考に、LNKファイルのFile headerを確認します。オフセット20からの4バイ…

RegistryとAccess bits

レジストリファイルのAccess Bitsを確認します。検証環境はWindows 10 1709です。 サンプルのレジストリキーをHKCU(NTUSER.DAT)配下に作成します。 yarp-printを利用し、Exampleキーを作成したNTUSER.DATをパースします。ExampleキーのAccess Bits値は2とな…

Registry Transaction LogとPlaso

Registry Explorerを利用する事で、レジストリのトランザクションログファイルを反映したハイブファイルを作成できます。 トランザクションログを反映した、SYSTEMハイブファイルを利用し、タイムラインを作成してみます。 トランザクションログを反映したSY…

Bam KeyとTransaction Log

HKLM\SYSTEM\CurrentControlSet\Services\bam\ キーを引き続き確認します。今回はレジストリのTransaction Logを、Registry Explorer/RECmd Version 1.0.0.0を使って参照したいと思います。 Live環境でのトランザクションログの取得には、RawCopyを利用しま…

bam key と Program execution

HKLM\SYSTEM\CurrentControlSet\Services\bam\ キーに記録される、プログラム実行の痕跡について検証された記事が下記で参照できます。 padawan-4n6.hatenablog.com 私もこのレジストリキーについて検証してみたいと思います。テスト環境は Windows 10 ver 1…

USN Analytics と Folder

Forensicistさんが、USN Analyticsツールを公開されています。USN Analytics ツールは、$J をパースするだけでなく、フォルダ構造も解析してくれます。 つまり、$MFT ファイルを利用せずに、フォルダ構造をある程度再現できます。 サンプルのフォルダ構造を…

Fixup と Update Sequence Number

NTFS の Fixup 値と update sequence について確認します。Fixup については NTFS Documentation を参照します。 サンプルの画像ファイル coin.jpg を E: ドライブへコピーし、MFT ファイルでFile レコードを確認します。coin.jpg ファイルの File レコード…

$INDEX_ALLOCATION (0xA0)とVirtual Cluster Number (VCN)

「Folderと$BITMAP (0xB0)」の続きです。 Windowsフォルダの $BITMAP (0xB0) は下記の状態です。VCN 0 から VCN 5 までが利用されている事を確認できます。 3F 00 00 00 00 00 00 00↓ 0 0 1 1 1 1 1 1 ⇒ Bitmap ⇒ クラスタの利用状況 LCNとVCNの関係は下記と…

Folderと$BITMAP (0xB0)

フォルダの$BITMAP属性について確認します。 まず、「Windows」フォルダのMFTレコード番号(FILEレコード番号)を確認します。 $MFT内でオフセット1375232に移動し、$Bitmap属性を探します。 $INDEX_ROOT (0x90)があります。$I30という名前が設定されていま…

Win10 と Thumbnail Index

Windows 10 1709 環境の Thumbnail Index ファイルを確認します。残念ながら、不完全なパース結果となっています。 サンプルファイル thumbcache_idx.db を参照します。ファイルフォーマットについては、「Windows Explorer Thumbnail Cache database format…

Windows 10とThumbnailCacheId

Windows 10 ver 1709 環境上における、ThumbnailCacheId とサムネイルキャッシュの関係を確認します。 キャッシュされているサムネイルデータをThumbcache Viewer を使い確認します。 thumbcache_768.db内には2件の画像がキャッシュされています。 C:\Users\…

Win10 と Thumbnail Cache

Windows 10 1709 環境の Thumbnail Cache ファイルをテストします。サンプルの JPEG画像をPreview Paneで表示します。 ユーザーのプロファイルフォルダ配下に、thumbcacheファイルが作成されている事を確認します。 C:\Users\forensics\AppData\Local\Micros…

EventLogとEVTX

eventlogedit が利用されると、イベントログ内で個別のレコードが削除されます。 下記Blogでは、eventlogeditがレコードを削除する仕組み、検出ツールとサンプルのEVTXファイルが紹介されています。 blog.fox-it.com サンプルEVTXファイルの内容を確認したい…

RegistryとTransaction log files

Windows 10 環境で取得した ntuser.dat.LOG1 ファイルのデータ内容を確認します。 ファイルフォーマットについては「Windows registry file format specification」のNew format を参照しています。 ファイルの先頭 512バイトは、Base block となっており、N…

RegistryとFile format(3)

レジストリから値を削除し、変化を確認します。サンプルとして、HKEY_CURRENT_USER\Environment 配下にUserInitMprLogonScript値を作成します。この値はAPT28で自動起動の手口としても利用されています。 この値のオフセット位置を確認します。 Registry Exp…

RegistryとFile format(2)

前回の続きです。ROOTキー(nk)のサブキーを確認します。ROOTキー配下に、サブキーは 9個あります。 ROOTキーのCELL内容から、サブキーのリストはオフセット位置 72,288(4096 + 68,192)である事を確認できます。 09 00 00 00 Number of subkeys ⇒ 901 00 00…

RegistryとFile format(1)

レジストリのバイナリ構造について確認します。レジストリファイルの構造については、「Windows registry file format specification」の資料を参考にします。 サンプルのレジストリファイルは Windows 10 のNTUSER.DAT を利用します。 Base Block 72 65 67 …

USN Journal と Timestamp

タイムスタンプを変更した場合の、USN ジャーナルの動作について確認してみます。検証環境は Windows 10 1709 です。 E:ドライブに crocodile.jpg ファイルをコピーし、USN Journal を確認します。 fsutil usn readjournal e: csv > output.csv Autopsy で $…

RegisterXLLとAutoruns

トレンドマイクロ社のブログ「ChessMaster’s New Strategy: Evolving Tools and Tactics」には下記の記述があります。 The Powershell script leverages RegisterXLL, which is a component of Excel, to load BKDR_ANEL into Excel.exe マルウェアは Excel …

Win 10 と sdelete

Windows 10 ver 1709 上での sdelete コマンドの動作について。 Sdelete コマンドについては、Kazamiya さんが「SDelete | Forensicist」に詳しく整理されていますので、そちらを参照ください。 Picturesフォルダに JPEG ファイルを置いてあります。このボリ…

Rundll32 と Prefetch

Rundll32.exe を利用した DLL 実行と、プリフェッチファイルの関係について確認してみます。テストした環境は Win 10 1709 Build 16299.15 です。 DLL ファイルには、Didier Stevens さんの作られた cmd.dll を利用します。 Rundll32 Windows\Prefetch フォ…

$LogFile (2) と Defrag

NTFSボリューム F: 上でデフラグを実行した場合に、$LogFile に記録される内容を確認してみます。 サンプルの画像ファイル crocodile.jpg のメタ情報を確認します。クラスタ番号 34848 からデータが配置されています。 $STANDARD_INFORMATION Attribute Valu…

$LogFile (1)

NTFS には $LogFile があります。$LogFile を調べることで、ファイルシステム上で何か変化したかをより詳細に調べる事が可能です。 テストファイルの作成 Windows 10 環境上で VHD ディスクを作成し、USN ジャーナルを有効にします。 C:\Windows\system32>fs…

USN と range tracking

fsutil コマンドの「enablerangetracking」オプションを確認してみます。テスト環境は Windows 10 です。 この機能については、マイクロソフト社の下記URLで説明されています。 Tracking modified ranges of a file より引用 The NT File System (NTFS) team…

$JとUSN

NTFS USN Jornal の確認用として、新規にVHDディスクを作成し、NTFSでフォーマットします。下記図ではF:ドライブが新規に作成したNTFSボリュームになります。 fsutil コマンドを利用し、ジャーナルの状態を確認します。F:ドライブに USN ジャーナルは設定さ…

CCleaner と GB2312

Talosの記事には、マルウェアにより収集されたデータのスクリーンショットが掲載されています。 Cisco's Talos Intelligence Group Blog: CCleaner Command and Control Causes Concern より部分的に引用 In addition, the compromised machines would share…

Security Id と $Secure

Security IDと$Secureの関係について確認します。[注意事項]一部は不完全なパース結果となっています。 最初にサンプルファイル(crocodile.jpg)のアクセス権を確認します。 ファイル crocodile.jpg のSecurity IDを確認します。Security ID 値は $STANDARD…