@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

ActivitiesCache.dbとアクティビティ削除(3)

先週の続きです。 OSの日付を6月25日へ変更し、レコード削除を発生させます。 OSを再起動し、-wal ファイルがActivitiesCache.dbへ反映された状態にします。 ActivitiesCache.dbファイルをHEXで参照し、ファイル名を検索してみます。 DeleteSample.jpgを発見…

ActivitiesCache.dbとアクティビティ削除(2)

先週の続きです。 テスト環境は先週からずっとシャットダウンしていましたので、先ほど起動しました。 アクティビティの状態を確認します、アクティビティには何も表示されません。 ActivitiesCache.dbファイルをエクスポートします。ActivitiesCache.dbファ…

ActivitiesCache.dbとアクティビティ削除

アクティビティを削除し、ActivitiesCache.db内でどのような変化が発生するかを確認します。テスト環境は Win 10 1803 です。 サンプルのJPEG画像ファイルを参照し、アクティビティを作成します。 Activityテーブルでレコードを確認します。38番レコードにJP…

Win 10 1803 とActivitiesCache.db

Windows 10 Ver 1803 の Timeline 機能が利用している ActivitiesCache.db を確認したいと思います。 サンプルのアクティビティを作成します。Photosアプリケーションでサンプル画像を参照します。 ActivitiesCache.db ファイルは下記フォルダにあります。(…

JumpList と DestList

JumpList 内の DestList を確認します。DestListのDirectory entry(128byte)は下記になります。 44006500730074004C00690073007400000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000 ⇒ DestList12 00 ⇒ 18…

JumpList と Stream

「JumpList と The allocation table」の続きです。 次のDirectory entry(128byte)をパースしてみます。 31000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000 ⇒ 1 04 00 ⇒ …

JumpList と The allocation table

JumpListのファイル構造続き。SAT(Sector Allocation Table)を確認します。 「Object Linking and Embedding (OLE) Compound File (CF) format specification」を参照しています。 Master Sector Allocation Table (MSAT)はオフセット76から開始されており、…

JumpList と OLECF file header

これも古い話題ですが :-)、JumpListのファイル形式について確認します。JumpListファイルの詳細については、参考URLの記事を参照してください。 下記図は、Windows 10環境でAutomaticDestinationsフォルダ配下にあるf01b4d95cf55d32a.automaticDestinations…

Registry MinerとTime stamp

Registry Miner を利用し、レジストリファイルからタイムスタンプを採掘します。 サンプルのSYSTEMハイブに対して、Registry Miner を実行します。”starting timestamp”で指定した日時以降の、タイムスタンプを含むキーや値が採掘されます。 # ./registry-mi…

LNK と Time stamp (FAT date and time)

LNKファイル内のShell Itemに含まれる、タイムスタンプ形式を確認します。 LEcmdを利用し、LNKファイルに含まれるタイムスタンプを確認します。フォルダCaseと、P1060117.jpgのタイムスタンプ情報を確認できます。 「LNKとShell item」を参考に、Caseフォル…

LNK と Property Store

LNKファイルのProperty Store構造を確認します。 サンプルJPEGファイルを準備します。このJPEGファイルはEXIF情報を含んでいます。 サンプルJPEGファイルのショートカットを作成します。 作成したショートカットファイルを LEcmd でパースし、Property store…

LNKとShell item

LNKファイルのShell item構造を確認します。 USBメモリ上にある、Example.jpgを参照し、RecentフォルダにLNKファイルを生成します。 Windows Shortcut File format specification を参考に、LNKファイルのFile headerを確認します。オフセット20からの4バイ…

RegistryとAccess bits

レジストリファイルのAccess Bitsを確認します。検証環境はWindows 10 1709です。 サンプルのレジストリキーをHKCU(NTUSER.DAT)配下に作成します。 yarp-printを利用し、Exampleキーを作成したNTUSER.DATをパースします。ExampleキーのAccess Bits値は2とな…

Registry Transaction LogとPlaso

Registry Explorerを利用する事で、レジストリのトランザクションログファイルを反映したハイブファイルを作成できます。 トランザクションログを反映した、SYSTEMハイブファイルを利用し、タイムラインを作成してみます。 トランザクションログを反映したSY…

Bam KeyとTransaction Log

HKLM\SYSTEM\CurrentControlSet\Services\bam\ キーを引き続き確認します。今回はレジストリのTransaction Logを、Registry Explorer/RECmd Version 1.0.0.0を使って参照したいと思います。 Live環境でのトランザクションログの取得には、RawCopyを利用しま…

bam key と Program execution

HKLM\SYSTEM\CurrentControlSet\Services\bam\ キーに記録される、プログラム実行の痕跡について検証された記事が下記で参照できます。 padawan-4n6.hatenablog.com 私もこのレジストリキーについて検証してみたいと思います。テスト環境は Windows 10 ver 1…

USN Analytics と Folder

Forensicistさんが、USN Analyticsツールを公開されています。USN Analytics ツールは、$J をパースするだけでなく、フォルダ構造も解析してくれます。 つまり、$MFT ファイルを利用せずに、フォルダ構造をある程度再現できます。 サンプルのフォルダ構造を…

Fixup と Update Sequence Number

NTFS の Fixup 値と update sequence について確認します。Fixup については NTFS Documentation を参照します。 サンプルの画像ファイル coin.jpg を E: ドライブへコピーし、MFT ファイルでFile レコードを確認します。coin.jpg ファイルの File レコード…

$INDEX_ALLOCATION (0xA0)とVirtual Cluster Number (VCN)

「Folderと$BITMAP (0xB0)」の続きです。 Windowsフォルダの $BITMAP (0xB0) は下記の状態です。VCN 0 から VCN 5 までが利用されている事を確認できます。 3F 00 00 00 00 00 00 00↓ 0 0 1 1 1 1 1 1 ⇒ Bitmap ⇒ クラスタの利用状況 LCNとVCNの関係は下記と…

Folderと$BITMAP (0xB0)

フォルダの$BITMAP属性について確認します。 まず、「Windows」フォルダのMFTレコード番号(FILEレコード番号)を確認します。 $MFT内でオフセット1375232に移動し、$Bitmap属性を探します。 $INDEX_ROOT (0x90)があります。$I30という名前が設定されていま…

Win10 と Thumbnail Index

Windows 10 1709 環境の Thumbnail Index ファイルを確認します。残念ながら、不完全なパース結果となっています。 サンプルファイル thumbcache_idx.db を参照します。ファイルフォーマットについては、「Windows Explorer Thumbnail Cache database format…

Windows 10とThumbnailCacheId

Windows 10 ver 1709 環境上における、ThumbnailCacheId とサムネイルキャッシュの関係を確認します。 キャッシュされているサムネイルデータをThumbcache Viewer を使い確認します。 thumbcache_768.db内には2件の画像がキャッシュされています。 C:\Users\…

Win10 と Thumbnail Cache

Windows 10 1709 環境の Thumbnail Cache ファイルをテストします。サンプルの JPEG画像をPreview Paneで表示します。 ユーザーのプロファイルフォルダ配下に、thumbcacheファイルが作成されている事を確認します。 C:\Users\forensics\AppData\Local\Micros…

EventLogとEVTX

eventlogedit が利用されると、イベントログ内で個別のレコードが削除されます。 下記Blogでは、eventlogeditがレコードを削除する仕組み、検出ツールとサンプルのEVTXファイルが紹介されています。 blog.fox-it.com サンプルEVTXファイルの内容を確認したい…

RegistryとTransaction log files

Windows 10 環境で取得した ntuser.dat.LOG1 ファイルのデータ内容を確認します。 ファイルフォーマットについては「Windows registry file format specification」のNew format を参照しています。 ファイルの先頭 512バイトは、Base block となっており、N…

RegistryとFile format(3)

レジストリから値を削除し、変化を確認します。サンプルとして、HKEY_CURRENT_USER\Environment 配下にUserInitMprLogonScript値を作成します。この値はAPT28で自動起動の手口としても利用されています。 この値のオフセット位置を確認します。 Registry Exp…

RegistryとFile format(2)

前回の続きです。ROOTキー(nk)のサブキーを確認します。ROOTキー配下に、サブキーは 9個あります。 ROOTキーのCELL内容から、サブキーのリストはオフセット位置 72,288(4096 + 68,192)である事を確認できます。 09 00 00 00 Number of subkeys ⇒ 901 00 00…

RegistryとFile format(1)

レジストリのバイナリ構造について確認します。レジストリファイルの構造については、「Windows registry file format specification」の資料を参考にします。 サンプルのレジストリファイルは Windows 10 のNTUSER.DAT を利用します。 Base Block 72 65 67 …

USN Journal と Timestamp

タイムスタンプを変更した場合の、USN ジャーナルの動作について確認してみます。検証環境は Windows 10 1709 です。 E:ドライブに crocodile.jpg ファイルをコピーし、USN Journal を確認します。 fsutil usn readjournal e: csv > output.csv Autopsy で $…

RegisterXLLとAutoruns

トレンドマイクロ社のブログ「ChessMaster’s New Strategy: Evolving Tools and Tactics」には下記の記述があります。 The Powershell script leverages RegisterXLL, which is a component of Excel, to load BKDR_ANEL into Excel.exe マルウェアは Excel …