tessy さんから、CTF 勉強会用にフォレンジックの課題を持参して参加しろやゴラァ！というお話が出ていたのですが、フォレンジック方面って仕込むとトリッキーな内容になってしまい、現実とかなり離れた話題になってしまう気がしています。 ですので、より現…

しばらく日程があきますが、2週間後の2/13,14 はセキュそば*1のはずなので、その翌週で2月20日(土）の午後から開催になります。テーマは OLE 構造の予定です。ブラウザ関連だと IE がセッション情報を復元するために情報を保存している .dat ファイルでも使…

ブラウザがInPrivateなどのモードで動作していたり、もしくはブラウザを閉じる（終了処理）を行うことで消える or 上書きされる情報とかがあるとすると、メモリダンプを取得した後は、強制的にプロセスを KILL するなりした方がディスク上に残る情報は保持し…

揮発性情報というくらいですので、時間の経過と共に失われてしまうので、仮にメモリダンプを実行してもどこまで情報が得られるのかは状況次第ですが、少なくともWebブラウザなりが取り扱っているWebメールのデータ内容に踏み込んで調べるには、メモリダンプ…

画面のスクリーンショットなどの情報は、OS内部でプログラムを動かしてスクリーンショットを残すのではなく、外部でデジカメなどを使い撮っておいて、メモリの汚染というか、不要な変更を避けるほうがよいというお話も出てましたね。デジカメで撮影した画像…

CCI な人に聞こうと思っていたのにすっかり失念していたのですが、"Memory Forensic Toolkit" に関連した話題で確かメモリダンプで、終了というかすでに死んでいるプロセスの識別だか使っていたメモリ範囲の確認などが可能かもしれないというお話があったよ…

背後の人がメモリダンプから Gmail のパスワード取り出すなどの実験をしていたのですが、Windows 7 のテストはこれからみたいです（笑）。プロセスリストを確認するのはブックマークからの方が見やすいということはよくわかりました。 Extracting Gmail Pass…

IE 8などのプロセスをダンプする際に、タブごとにプロセスIDが存在しているわけですが、どれがどのタブのプロセスIDなのかを簡単に識別する方法が欲しいという話題が出ていました。プロセスエクスプローラ（process explorer）や tasklist /v コマンドを使う…

確か Web 会議室側でチャット履歴を CSV で出力してくれるはずだと思って確認してみたら、1行分しか残ってない...orz、モデレータ権限で設定したのしか記録しない仕組みなのかなぁ、次回は Twitter などにも並行して呟いておかないと後から自分が困るな（笑…

Web メールが送受信しているデータ内容を確認するという点では、HTTPSなので別途 PROXY などでやりくりするか、Fiddler を使いローカルで Proxy してコンテンツ内容を確認するとよいのではないかというお話も出ていました。 http://www.fiddler2.com/fiddler…

女房を質に入れて「＠IT メールソリューション Live! in Tokyo」に参加されるご予定らしい、sen-u さんがコンテンツがキャッシュ対象かどうかを確認されていたのですが、確認方法を教えてもらうのを失念（笑）っていうか、白衣でのご登場なんですか（ｗ

とりあえず Web メールがどの様に構成されているのか？という辺りから調べ始めたわけですが、IEで“ソースを表示”を実行してもさっぱり中身を表示してくれません。で、「そこは Firefox で！」というチャットでの助言を受け、（二個目の f は小文字な）Firefo…

今回の FNG はテーマがWebメールということだったのですが、とりあえず手元では日頃から使っている Gmail をベースに色々と調べてみました。Webメールは種類も豊富ですので、基本的にはそれぞれのWebメールにあった調査方法を考える必要があると思います。な…