@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

2005-04-09から1日間の記事一覧

仮想OS環境

私は VMware を主に使っていますが、ディスカッションの時に別の名前(ぼっくす?)がでていたのですが失念(ぉぃ デバッグツール?を組み合わせることで、(複製したシステムに対して)より強力な調査を行うことも可能になるというお話がでていました。

移行ツール

今回、VMware にインストールした Windows Server 2003 を、Virtual PC 2004 へ複製して起動させるということをテストしていたのですが、VMware P2V Assistant 2 とかを使うと、物理コンピュータを仮想OS環境へ簡単に複製できちゃったりするんですかね?

ザオラル

稼働中のシステムをなるべく触らずに調査したいので、稼働中システムを丸ごと仮想 OS 環境へと複製し、そっちをゴリゴリ調べましょう!というのが昨日の小ネタ。 稼働中システムのハードディスクをオンラインで複製(ddとかでコピー)し、それをVMwareの起動…

参照URL

PPT に書いてもアレなので、こっちに「参照URL」を貼り付けておこう。 修復セットアップ完全マスター http://www.atmarkit.co.jp/fwin2k/operation/em_repair/em_repair02.html [HOWTO] 起動しなくなった Windows Server 2003 ベースのコンピュータで回復コ…

復旧優先

インシデントが発生したシステムが重要になればなるほど、(運用上)電源断は難しくなるでしょうし、迅速な復旧を望まれると思います。「犯罪捜査 vs 企業活動」という点では、犯罪捜査に必要となる電源断が、実際に受けた被害額より多いとなると困りますや…

人によって異なるコマンド

netstat -na でも netstat -an でも得られる結果は同じですが、インシデントに対応した人によって netstat を打ったり、打たなかったりという状況になると、取得した情報を整理・調査するのが大変そうですやね。*1 人によってはトラップに見事にひっかかった…

ログに残らない情報を迅速に取得する

代表的なものとしては「メモリ」の内容ですかね。取得して解析できるのか?という話題はあるわけですが、でかいバイナリファイルを調査するのと基本的に同じなので、リーフキットとかを使えばいろいろ手がかりが得られるかもしれません。 ただ、メモリ全体を…

揮発性情報とログ

時間の経過と共に失われたり、電源断により消えてしまう情報を揮発性情報*1と呼んでいます。インシデント発生時にどのような揮発性情報を取得しておくとよいか?という点ですが、個人的にはログに残ってない情報を優先して取得すべきだと考えています。 逆に…

インシデント発生その時・・・

今回のセキュリティアカデミー勉強会のテーマは、「Live Response」ということでインシデントが発生した時に、稼働中システムからどのような揮発性情報を取得するとよいか?、注意点は何か?ということを中心にディスカッションなどが行われました。 まだま…