@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

2005-04-15から1日間の記事一覧

キャッシュ情報とrootikit

最近、妙に rootkit の話題を見かける気がしますが、キャッシュ情報を隠蔽or改ざんするrootkitってあるんですかね?netstat の結果から特定レコードを消すといった機能は見かけますが... キャッシュは時間が経てば消えるし、消そうと思えば(OS標準コマンドで…

復旧に使えるか?

ARP,NBT,DNS キャッシュ情報を復旧に利用できるかなぁ〜と考えてみたのですが、具体的な例が思いつきませんでした。 通信履歴と組み合わせて被害範囲の推測に使えるかな?という気もしますが、それは通信履歴とハードディスク イメージでオケーそうな気もし…

取得したデータをどう使うか?

例えば、ipconfig /displaydns でキャッシュされている名前を調べることで、偽アドレスを掴まされていないか?などを確認できる気がしますが、もう一歩進めると「アドレスは解決されているけど、本当にそこに接続したの?何時からどんなデータをやりとりした…

キャッシュされている時間

例えば先ほどの ipconfig /displaydns で表示されるデータがキャッシュに残っている時間は、サポート技術情報 245437 によると、Windows XP 以降では(肯定応答の場合は) 86,400 秒 (1 日)となっているようです。*1 他にも arp -a で取得できる ARP キャッシ…

キャッシュに関するメモ

相変わらず整理できてないのでメモ代わりに。まとまってなくてすいません。 kjm 先生のところで『いまどきだと、まず ipconfig /displaydns を取っておきたいかも。』と書かれていたのを読んで、ここ数日どんなコマンドを選択すると良いのかについていろいろ…