デジタル・フォレンジック研究会 二日目の分科会でちょっと質問したお話。デジタル証拠を扱う際に原本との同一性を確認するというのは良くでるお話です。しかし、稼働中システムのディスクイメージや、記録中のログファイルは原本とハッシュ値などによる同一…

dd で複製したディスクイメージから、イベントログ（.evt）ファイルを別の PC へ持っていきイベントビューアで開くと、『イベント ログ ファイルが壊れています』と出る。強制的に別の PC でファイルを入れ替えれば見えるけど、もっとスマートな方法はないの…

インシデントが発生しているホスト上で、調査用にプログラムを起動する場合、極力安全にプログラムを起動する良い方法ってあるのかな？、C/C++セキュアプログラミング クックブックVol.1*1 P34 なお話。 *1:http://d.hatena.ne.jp/asin/4873112001

MVPな集まりがあった際にちょこっと話題になったのですが、できれば OS の CD-ROM に Incident Responce 用のツール（orコマンド）一式を入れておいてくれると、危険かつ不要な操作や、誤った調査が減るのでは？というお話。（ライセンスの問題などあるので…

調べないといけないけど時間なくて忘れそうなものもメモしておこう。（というよりほとんど忘れかけていたので、慌ててメモしているというのが正しい）