@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

フォレンジック

adb backup で Android 端末のバックアップを作成する(2)

adb devices コマンドでデバイスが認識できている状況が確認できましたので、次にバックアップを作成してみます。 adb backup には幾つかのオプションがありますが、まずはオプション指定せずにそのまま実行してみたいと思います。 adb backup -all コマンド…

adb backup で Android 端末のバックアップを作成する(1)

手元の Android 端末は SONY Experia Z Ultra なのですが、adb backup を使いバックアップを作成しておきたいと思いますので、そのメモとなります。 Android のバージョンは 4.4.2 になりますので、Android 4.0 以降に搭載されたという adb backup コマンド…

SANS ポスター:Windows Artifact Analysis(36) CFB(Compound File Binary)

Jumpリスト、LNKファイルに関連し、CFB(Compound File Binary)形式のデータを扱えるツールをメモしておきたいと思います。 Structured Storage Viewerhttp://www.mitec.cz/ssv.html Compound File Explorerhttp://sourceforge.net/projects/openmcdf/files…

SANS ポスター:Windows Artifact Analysis(34) Jump Lists

customDestinations の内部構造としては SHLINK 構造ですが、ツールによっては一部パースしていない情報があるようですので、少し確認しておきます。下記は 4119a98bddddcdb4.customDestinations-ms の ShellLinkHeader(76byte分)を抜粋したものになります…

SANS ポスター:Windows Artifact Analysis(33) Jump Lists

Jump Listsには、AutomaticDestinationsフォルダとは別にCustomDestinationsフォルダがあり、こちらにも 4119a98bddddcdb4.customDestinations-ms といったファイルが保存されています。AutomaticDestinations は CFB 形式でしたが、customDestinations の内…

SANS ポスター:Windows Artifact Analysis(32) Jump Lists

LinkInfo構造の続きとしては、VolumeID構造に続きLocalBasePath (variable)が続きます。LocalBasePathにファイルパスが記録されています。 データとしては更にPage 28のExtraData構造が続く形になります。ExtraDataには幾つかのプロパティデータブロックがあ…

SANS ポスター:Windows Artifact Analysis(31) Jump Lists

LinkInfo構造の内容を確認してみます。(MS-SHLINK の Page 15)先頭4バイトがLinkInfoSizeですので、下記では 7F 00 00 00 という値から 128byte分のデータ範囲を抜粋しています。 7F 00 00 00 1C 00 00 00 01 00 00 00 1C 00 00 002D 00 00 00 00 00 00 00…

SANS ポスター:Windows Artifact Analysis(30) Jump Lists

Jump Listsファイルの内部では、データとしてMS-SHLINK構造でデータが保存されていますが、ShellLinkHeader のオフセット 20 からの 4byte LinkFlags を確認する事で LinkInfo が存在するか確認できます。下記は ShellLinkHeader の 76byte 分ですが、LinkFl…

SANS ポスター:Windows Artifact Analysis(29) Jump Lists

Jump Listsファイルの内部では、データとして MS-SHLINK 構造でデータが保存されていますが、ShellLinkHeader の後には(ヘッダ内のLinkFlagsの値に依存しますが)LinkTargetIDList と LinkInfo 構造が続く事になります。 下記は ShellLinkHeader の後に続い…

SANS ポスター:Windows Artifact Analysis(28) Jump Lists

Windows 7 の Jump Lists ファイルである、 <ApplicationID>.automaticDestinations-ms ファイル構造の続きになります。Jump Listsファイルの内部では、データとしてMS-SHLINK構造でデータが保存されています。下記はディレクトリエントリ名 1 の 128byte 分になります。 31</applicationid>…

SANS ポスター:Windows Artifact Analysis(27) Jump Lists

Windows 7 の Jump Lists ファイルである、 89b0d939f117f75c.automaticDestinations-ms ファイル構造の続きになります。ここまでは通常のセクタを見てきましたが、MS-CFBには Mini FAT と Mini sector(Mini stream)というデータ構造も存在します。Compoun…

SANS ポスター:Windows Artifact Analysis(26) Jump Lists

Windows 7 の Jump Lists ファイルである、 89b0d939f117f75c.automaticDestinations-ms ファイル構造の続きになります。オフセット 1024 からの1セクタ分は[MS-CFB]のPage 23 に記載がある Compound File Directory Entry になります。ディレクトリエントリ…

SANS ポスター:Windows Artifact Analysis(25) Jump Lists

Windows 7 の Jump Lists ファイルである、 89b0d939f117f75c.automaticDestinations-ms ファイル構造の続きになります。 オフセット 512 からの1セクタ分は FAT になります。いわゆるFATファイルシステムの管理方法と基本的な考え方は同じようで、使われて…

SANS ポスター:Windows Artifact Analysis(24) Jump Lists

Windows 7 の Jump Lists ですが、AutomaticDestinations フォルダ配下にあるファイルは [MS-CFB] Compound File Binary File Format の構造になっています。MS-CFB についてはマイクロソフトからフォーマットに関する資料が提供されています。 [MS-CFB]: Co…

SANS ポスター:Windows Artifact Analysis(23) Jump Lists

Program Execution カテゴリにある Win7 Jump Lists について確認してみます。Windows 7 の Jump リストはポスターの Location で示されている下記パス配下に存在しています。 C:\Users\<user>\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations[Ap</user>…

SANS ポスター:Windows Artifact Analysis(22) AppCompatCache

Program Execution カテゴリにある AppCompatCache について確認してみます。この値は SYSTEM レジストリ ハイブの下記キー配下に値として存在しています。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache REG_BINARY…

SANS ポスター:Windows Artifact Analysis(21) UserAssist

Program Execution カテゴリの最初に出てくるのが UserAssist になります。GUIベースのプログラムに関する実行履歴が、各ユーザーの NTUSER.DAT ファイル内に記録されていますので、その内容を確認する事になります。 HKEY_CURRENT_USER\Software\Microsoft\…

SANS ポスター:Windows Artifact Analysis(20) Program Execution

SANS Windows Artifact Analysis ポスターにあるカテゴリ、Program Executionについて見ていきたいと思います。プログラム実行に関するアーティファクトという事で、以下の項目がリストアップされています。 UserAssist Last-Visited MRU RunMRU Start->Run …

SANS ポスター:Windows Artifact Analysis(19) Chrome Download

ポスターには記載がありませんが、Google Chrome についても確認しておきたいと思います。 Google Chrome では以下のフォルダ配下に SQLite3 形式で History ファイルが存在しています。 Win7 %userprofile%\AppData\Local\Google\Chrome\User Data\Default …

SANS ポスター:Windows Artifact Analysis(18) FireFox Download

ポスターでは FireFox 経由でダウンロードしたファイルの履歴情報として、downloads.sqlite が記述されています。 しかし、これは古いバージョンのお話で(Wiki によると FireFox 21辺りまで?)、手元で確認した FireFox 29.0.1 では downloads.sqlite ファ…

SANS ポスター:Windows Artifact Analysis(17) WebCacheV01.dat

NirSoft の ESEDatabaseView を使い WebCacheV01.dat をパースすると、MSysObjects の内容を確認する事ができます。 Container_36 がダウンロードに関するテーブルになりますので、この定義情報を MSysObjects の CSV で確認すると ObjidTable 値 74、Name …

SANS ポスター:Windows Artifact Analysis(16) WebCacheV01.dat

ESENTUTLコマンドを使うことで、ESEDB の情報を確認できますが、WebCacheV01.dat ファイルについての取り扱いが下記資料 Page 15 で詳しく扱われています。 Forensic analysis of the ESE database in Internet Explorer 10http://hh.diva-portal.org/smash/…

SANS ポスター:Windows Artifact Analysis(15) WebCacheV01.dat

esentutl /m /p1921 WebCacheV01.dat コマンドの出力結果では、Page Tagをパースして結果を表示してくれています。実際のデータ構造としては、ページの最後からページ先頭に向かって 4バイトづつ Page Tag が記録されています。 TAG 0 cb:0x0010 ib:0x0000 o…

SANS ポスター:Windows Artifact Analysis(14) WebCacheV01.dat

WebCacheV01.dat ファイルに対して RAW で KW 検索を実施すると、ESEDatabaseView から出力した CSV ファイルでは HEX 文字列?として出力されてくるデータがヒットしてきます。該当データ部分の詳細を確認する為、ESEデータベースの構造を少し確認しておき…

SANS ポスター:Windows Artifact Analysis(13) WebCacheV01.dat

WebCacheV01.datファイルをESEDatabaseViewまたはEseDbViewerでパースし、CSVデータとして出力するとかなり多くのファイルが作成されます。 出力されるCSVファイルの中に Containers.csv があり、この内容を確認するとContainer_数字のファイルの役割につい…

SANS ポスター:Windows Artifact Analysis(12) WebCacheV01.dat

WebCacheV01.datファイルは Extensible Storage Engine (ESE) Database File (EDB) 形式ですが、EseDbViewer で読み込む時にはページサイズを指定する必要があります。(EseDbViewerは管理者権限で実行しないと.datを読み込ませた時にエラーになるので注意が…

SANS ポスター:Windows Artifact Analysis(11) Index.dat

IE 10のWebCacheV01.dat ファイル内でダウンロード情報がどの様に管理されているかを確認してみたいと思います。ESEDB形式ファイルを閲覧できるツールとしては下記があります。(専用ツールという意味ではIEFがありますが) ESEDatabaseViewhttp://www.nirso…

SANS ポスター:Windows Artifact Analysis(10) Index.dat

SANS Windows Artifact Analysis: Evidence of..ポスターの File Download の項目として Index.dat/Places.sqlite が項目として出てきます。 IE では Ver9 でダウンロードマネージャが搭載され、(通常の履歴以外に)このダウンロードマネージャ用の Index.d…

SANS ポスター:Windows Artifact Analysis(9) E-Mail Attachments

SANS Windows Artifact Analysis: Evidence of..ポスターの File Download の項目として E-Mail Attachments が2番目の項目として出てきます。 ここではOutlookを対象として書かれていますので、Outlookのメールボックスが通常置かれているパスとして以下が…

SANS ポスター:Windows Artifact Analysis(8) Windows Shell Item

LastVisitedPidlMRU をサンプルで一つパースしてみましたが、Excelなどオフィス製品からファイルを保存した際には少し異なる値が出力されるようです。下記は Excel からファイルを名前を付けて保存した後に出来た値の先頭部分の抜粋になります。 7B 00 43 00…