インシデント・レスポンスの演習とかやると、rootkit などを発見したことで「終了」といった雰囲気になる場合がありますけど、実際には被害範囲の特定や、被害発生時期の確認とかのほうが復旧上は重要なわけですやね。そこで必要となるデータが得られるので…

なんだかんだ言いながら、仮にログが揃っているとしても、プロセス実行状況とTCP/IPの接続状況はあったほうが良いような気がしますね。でも、それ以外でどうしても必要な情報っていうとなんでしょうね？ 最近流行のメモリダンプ？、確かに取得できるのであれ…

揮発性情報の取得目的によりますが、怪しいものがいないか確認したいということであれば、そもそも『見えるのか？』という問題がありますね。 最近はすっかりメジャーになった？ rootkit ですが、昔のファイル置換により隠蔽するタイプではなく、正規のコマ…

の確認はしたほうがよい気がするので、ケーブル抜く前に ipconfig /all を実行したほうがよいのではないでしょうかね。っていうような話題を数年前に港139MLでやった気がするけど、ipconfig 実行するのであればついで kjm 先生お奨めの /displaydns オプショ…

いやぁここ本当に考えていただきたいところなんですが『その揮発性情報は本当に必要なんですか？』という事です。それだけ必要な情報であれば、ログに記録するようにしたほうが良いのではないでしょうか？ もしログに残らないとか、その時点での情報がどーし…

コマンド実行時に失われる可能性がある情報として、MACtime があります。MACtime も時間の経過と共に更新され失われますので、一種の揮発性情報だと個人的には考えています。タイムラインを追跡したことがある管理者であれば、MACtime の重要性は認識されて…

例えば、現在実行中のプロセス情報を確認するという目的であれば、タスクマネージャのプロセスタブから確認することができますが、ここで表示される情報には、調査や追跡で必要となる実行パスが抜けてます。あえて揮発性情報を取得するのであれば、それが追…

個人的にはいつも悩むのですが、実行中のプロセス情報とTCP/IPの接続状態、どちらのコマンド実行を優先すべきなんでしょうかね？ 揮発性の順序は“消えやすいものから”ですが、ここで考慮しておかなければいけないのは、コマンド実行後に情報取得に必要となる…

ITProの「今週のSecurity Check(第176回)」という記事を読んで、揮発性の順序やコマンドが人によって違うもんだなぁと改めて思ったのでちょっとメモしてみたり。 「Windowsマシンへの不正アクセスを発見」---そのとき，どうする？ Windowsにおける証拠保全の…