アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

adb backup で Android 端末のバックアップを作成する(9)

adb backup の -shared オプションですが、内蔵ストレージ、SDカード含めストレージのバックアップを取る事ができる点は便利なのですが、古いバージョンでは不具合があったり少し注意が必要なオプションです。 十分確認できていないのですが、Andrillerの作…

adb backup で Android 端末のバックアップを作成する(8)

adb backup のオプションには -shared | -noshared があり、SDカード内データのバックアップを指定できます。 Android Backup Extractor の Readme.txt には下記記述があり、どうやら古いバージョン?のバックアップには問題があるようです。 Creating a bac…

adb backup で Android 端末のバックアップを作成する(7)

adb backup のオプションで パッケージ名を指定する事で、個別アプリケーションのバックアップを行う事ができます。 デバイス内のアプリケーションを確認するには、adb shell pm list packages コマンドを使うことが出来ます。下記では -3オプションによりサ…

雑談: 週末読書 7/20

今週は「シャーロック・ホームズの思考術」を図書館で借りてきて読んでいました。この本も残念ながらKindle版がないのですが、内容的にはブラックスワンと同じく何度も読み返し、よく考える必要がある本ですね。 シャーロック・ホームズの思考術 作者: マリ…

adb backup で Android 端末のバックアップを作成する(6)

adb backup で取得したバックアップデータ内にあるパッケージフォルダと、adb shell pm list packages で取得したリストを比較してみます。 手元の Xperia Ultra Z には幾つかのアプリケーションを追加でインストールしていますが、adb shell pm list packag…

adb backup で Android 端末のバックアップを作成する(5)

ここまでの adb backup コマンドでは、-apk は指定していませんでした。今回は -apk を指定して実行してみます。 adb backup -apk -all オプションとして apk を指定した場合、インストールされているアプリケーションの apk ファイルもバックアップ対象に含…

adb backup で Android 端末のバックアップを作成する(4)

adb backup コマンドでバックアップを取る際、端末側の確認画面でパスワードを指定する事により、バックアップファイルを暗号化する事ができます。 Android Backup Extractor に添付されている Reame.txt には以下の記載があります。 - Android debugging br…

adb backup で Android 端末のバックアップを作成する(3)

adb backup コマンドを使いバックアップファイルを作成しましたが、このバックアップファイルの内容を展開・確認するには環境の準備が必要になります。 ①Java 環境、②Cygwin環境 を手元の Windows 環境で設定しておく必要がありますので、それぞれ配布元のペ…

adb backup で Android 端末のバックアップを作成する(2)

adb devices コマンドでデバイスが認識できている状況が確認できましたので、次にバックアップを作成してみます。 adb backup には幾つかのオプションがありますが、まずはオプション指定せずにそのまま実行してみたいと思います。 adb backup -all コマンド…

adb backup で Android 端末のバックアップを作成する(1)

手元の Android 端末は SONY Experia Z Ultra なのですが、adb backup を使いバックアップを作成しておきたいと思いますので、そのメモとなります。 Android のバージョンは 4.4.2 になりますので、Android 4.0 以降に搭載されたという adb backup コマンド…

SANS ポスター:Windows Artifact Analysis(36) CFB(Compound File Binary)

Jumpリスト、LNKファイルに関連し、CFB(Compound File Binary)形式のデータを扱えるツールをメモしておきたいと思います。 Structured Storage Viewerhttp://www.mitec.cz/ssv.html Compound File Explorerhttp://sourceforge.net/projects/openmcdf/files…

SANS ポスター:Windows Artifact Analysis(35) Jump Lists

AutomaticDestinations、CustomDestinationsは共にファイル名にアプリケーションのIDが付与されます。 このIDについては、既知のリストが下記で参照できますので、この値からどのアプリケーションのJummp Listであるかを確認する事が出来ます。 List of Jump…

SANS ポスター:Windows Artifact Analysis(34) Jump Lists

customDestinations の内部構造としては SHLINK 構造ですが、ツールによっては一部パースしていない情報があるようですので、少し確認しておきます。下記は 4119a98bddddcdb4.customDestinations-ms の ShellLinkHeader(76byte分)を抜粋したものになります…

SANS ポスター:Windows Artifact Analysis(33) Jump Lists

Jump Listsには、AutomaticDestinationsフォルダとは別にCustomDestinationsフォルダがあり、こちらにも 4119a98bddddcdb4.customDestinations-ms といったファイルが保存されています。AutomaticDestinations は CFB 形式でしたが、customDestinations の内…

SANS ポスター:Windows Artifact Analysis(32) Jump Lists

LinkInfo構造の続きとしては、VolumeID構造に続きLocalBasePath (variable)が続きます。LocalBasePathにファイルパスが記録されています。 データとしては更にPage 28のExtraData構造が続く形になります。ExtraDataには幾つかのプロパティデータブロックがあ…

SANS ポスター:Windows Artifact Analysis(31) Jump Lists

LinkInfo構造の内容を確認してみます。(MS-SHLINK の Page 15)先頭4バイトがLinkInfoSizeですので、下記では 7F 00 00 00 という値から 128byte分のデータ範囲を抜粋しています。 7F 00 00 00 1C 00 00 00 01 00 00 00 1C 00 00 002D 00 00 00 00 00 00 00…

SANS ポスター:Windows Artifact Analysis(30) Jump Lists

Jump Listsファイルの内部では、データとしてMS-SHLINK構造でデータが保存されていますが、ShellLinkHeader のオフセット 20 からの 4byte LinkFlags を確認する事で LinkInfo が存在するか確認できます。下記は ShellLinkHeader の 76byte 分ですが、LinkFl…

SANS ポスター:Windows Artifact Analysis(29) Jump Lists

Jump Listsファイルの内部では、データとして MS-SHLINK 構造でデータが保存されていますが、ShellLinkHeader の後には(ヘッダ内のLinkFlagsの値に依存しますが)LinkTargetIDList と LinkInfo 構造が続く事になります。 下記は ShellLinkHeader の後に続い…

SANS ポスター:Windows Artifact Analysis(28) Jump Lists

Windows 7 の Jump Lists ファイルである、 <ApplicationID>.automaticDestinations-ms ファイル構造の続きになります。Jump Listsファイルの内部では、データとしてMS-SHLINK構造でデータが保存されています。下記はディレクトリエントリ名 1 の 128byte 分になります。 31</applicationid>…

雑談:週末サイクリング 7/6

今週は平日もロードバイクに乗ってましたので、 35km+50km+35km+50km (合計 170km)走る事ができ、仮想目標まで 515km という事になりました。 梅雨時は晴れ間を縫って走るような感じになりますが、関東地方の梅雨明けはまだ少し先になるようですので、早…

SANS ポスター:Windows Artifact Analysis(27) Jump Lists

Windows 7 の Jump Lists ファイルである、 89b0d939f117f75c.automaticDestinations-ms ファイル構造の続きになります。ここまでは通常のセクタを見てきましたが、MS-CFBには Mini FAT と Mini sector(Mini stream)というデータ構造も存在します。Compoun…

SANS ポスター:Windows Artifact Analysis(26) Jump Lists

Windows 7 の Jump Lists ファイルである、 89b0d939f117f75c.automaticDestinations-ms ファイル構造の続きになります。オフセット 1024 からの1セクタ分は[MS-CFB]のPage 23 に記載がある Compound File Directory Entry になります。ディレクトリエントリ…

SANS ポスター:Windows Artifact Analysis(25) Jump Lists

Windows 7 の Jump Lists ファイルである、 89b0d939f117f75c.automaticDestinations-ms ファイル構造の続きになります。 オフセット 512 からの1セクタ分は FAT になります。いわゆるFATファイルシステムの管理方法と基本的な考え方は同じようで、使われて…

SANS ポスター:Windows Artifact Analysis(24) Jump Lists

Windows 7 の Jump Lists ですが、AutomaticDestinations フォルダ配下にあるファイルは [MS-CFB] Compound File Binary File Format の構造になっています。MS-CFB についてはマイクロソフトからフォーマットに関する資料が提供されています。 [MS-CFB]: Co…

SANS ポスター:Windows Artifact Analysis(23) Jump Lists

Program Execution カテゴリにある Win7 Jump Lists について確認してみます。Windows 7 の Jump リストはポスターの Location で示されている下記パス配下に存在しています。 C:\Users\<user>\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations[Ap</user>…

SANS ポスター:Windows Artifact Analysis(22) AppCompatCache

Program Execution カテゴリにある AppCompatCache について確認してみます。この値は SYSTEM レジストリ ハイブの下記キー配下に値として存在しています。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache REG_BINARY…

雑談:週末サイクリング 6/29

今週も雨模様だったこともあり、今週末のサイクリングは 50km しか走れておりません。仮想目的地までは残り 685km という事になります。

SANS ポスター:Windows Artifact Analysis(21) UserAssist

Program Execution カテゴリの最初に出てくるのが UserAssist になります。GUIベースのプログラムに関する実行履歴が、各ユーザーの NTUSER.DAT ファイル内に記録されていますので、その内容を確認する事になります。 HKEY_CURRENT_USER\Software\Microsoft\…

SANS ポスター:Windows Artifact Analysis(20) Program Execution

SANS Windows Artifact Analysis ポスターにあるカテゴリ、Program Executionについて見ていきたいと思います。プログラム実行に関するアーティファクトという事で、以下の項目がリストアップされています。 UserAssist Last-Visited MRU RunMRU Start->Run …

SANS ポスター:Windows Artifact Analysis(19) Chrome Download

ポスターには記載がありませんが、Google Chrome についても確認しておきたいと思います。 Google Chrome では以下のフォルダ配下に SQLite3 形式で History ファイルが存在しています。 Win7 %userprofile%\AppData\Local\Google\Chrome\User Data\Default …

SANS ポスター:Windows Artifact Analysis(18) FireFox Download

ポスターでは FireFox 経由でダウンロードしたファイルの履歴情報として、downloads.sqlite が記述されています。 しかし、これは古いバージョンのお話で(Wiki によると FireFox 21辺りまで?)、手元で確認した FireFox 29.0.1 では downloads.sqlite ファ…

SANS ポスター:Windows Artifact Analysis(17) WebCacheV01.dat

NirSoft の ESEDatabaseView を使い WebCacheV01.dat をパースすると、MSysObjects の内容を確認する事ができます。 Container_36 がダウンロードに関するテーブルになりますので、この定義情報を MSysObjects の CSV で確認すると ObjidTable 値 74、Name …

SANS ポスター:Windows Artifact Analysis(16) WebCacheV01.dat

ESENTUTLコマンドを使うことで、ESEDB の情報を確認できますが、WebCacheV01.dat ファイルについての取り扱いが下記資料 Page 15 で詳しく扱われています。 Forensic analysis of the ESE database in Internet Explorer 10http://hh.diva-portal.org/smash/…

雑談:週末サイクリング 6/22

この週末は 50km しか自転車に乗れていません。仮想目的地までは残り 735km という事になります。不甲斐ない結果になってしまった事を反省。 天候の影響もありましたが、予定をきちんと立てずに過ごしてしまった事が原因の一つでしょうか。 小岩菖蒲園祭りに…

SANS ポスター:Windows Artifact Analysis(15) WebCacheV01.dat

esentutl /m /p1921 WebCacheV01.dat コマンドの出力結果では、Page Tagをパースして結果を表示してくれています。実際のデータ構造としては、ページの最後からページ先頭に向かって 4バイトづつ Page Tag が記録されています。 TAG 0 cb:0x0010 ib:0x0000 o…

SANS ポスター:Windows Artifact Analysis(14) WebCacheV01.dat

WebCacheV01.dat ファイルに対して RAW で KW 検索を実施すると、ESEDatabaseView から出力した CSV ファイルでは HEX 文字列?として出力されてくるデータがヒットしてきます。該当データ部分の詳細を確認する為、ESEデータベースの構造を少し確認しておき…

SANS ポスター:Windows Artifact Analysis(13) WebCacheV01.dat

WebCacheV01.datファイルをESEDatabaseViewまたはEseDbViewerでパースし、CSVデータとして出力するとかなり多くのファイルが作成されます。 出力されるCSVファイルの中に Containers.csv があり、この内容を確認するとContainer_数字のファイルの役割につい…

SANS ポスター:Windows Artifact Analysis(12) WebCacheV01.dat

WebCacheV01.datファイルは Extensible Storage Engine (ESE) Database File (EDB) 形式ですが、EseDbViewer で読み込む時にはページサイズを指定する必要があります。(EseDbViewerは管理者権限で実行しないと.datを読み込ませた時にエラーになるので注意が…

SANS ポスター:Windows Artifact Analysis(11) Index.dat

IE 10のWebCacheV01.dat ファイル内でダウンロード情報がどの様に管理されているかを確認してみたいと思います。ESEDB形式ファイルを閲覧できるツールとしては下記があります。(専用ツールという意味ではIEFがありますが) ESEDatabaseViewhttp://www.nirso…

SANS ポスター:Windows Artifact Analysis(10) Index.dat

SANS Windows Artifact Analysis: Evidence of..ポスターの File Download の項目として Index.dat/Places.sqlite が項目として出てきます。 IE では Ver9 でダウンロードマネージャが搭載され、(通常の履歴以外に)このダウンロードマネージャ用の Index.d…

雑談:週末サイクリング 6/15

本日の走行距離は 50km でしたので、仮想目的地までは残り 785km という事になります。3日間で 130km ほど走った事になりますが、2時間で 50km という目標にはまだ到達できていません。 走行中にチェーンから若干軋むような少し高周波音があった為、帰宅後に…

雑談:週末サイクリング 6/14

金曜日と土曜日でそれぞれ、30km と 50km サイクリングできましたので、仮想目的地までの距離は 835km となりました。 早朝から走り始めても、8時過ぎには夏日を感じるこの頃です、あまり強い日差しを浴びると頭痛になったりしますので、天候と体調には気を…

SANS ポスター:Windows Artifact Analysis(9) E-Mail Attachments

SANS Windows Artifact Analysis: Evidence of..ポスターの File Download の項目として E-Mail Attachments が2番目の項目として出てきます。 ここではOutlookを対象として書かれていますので、Outlookのメールボックスが通常置かれているパスとして以下が…

SANS ポスター:Windows Artifact Analysis(8) Windows Shell Item

LastVisitedPidlMRU をサンプルで一つパースしてみましたが、Excelなどオフィス製品からファイルを保存した際には少し異なる値が出力されるようです。下記は Excel からファイルを名前を付けて保存した後に出来た値の先頭部分の抜粋になります。 7B 00 43 00…

SANS ポスター:Windows Artifact Analysis(7) Windows Shell Item

SANS Windows Artifact Analysis: Evidence of..ポスターの最初の項目は File Download となっており、Open/Save MRU に含まれている OpenSavePIDlMRU を確認してみました。 ファイルダウンロードカテゴリには含まれていませんが、似たカテゴリにファイルオ…

SANS ポスター:Windows Artifact Analysis(6) Windows Shell Item

更に続きのデータとしては、Page 5 2.2.4. Users 0x00 shell item が続きます。先頭2バイトがアイテムのサイズ、クラスタイプがあり、データサイズがかなり長いことが分かります。(ファイル名などはこのデータ範囲内に入ってきています)Page 5に従ってパー…

SANS ポスター:Windows Artifact Analysis(5) Windows Shell Item

2.2.4. Users 0x00 shell item のデータをパースしてきていますが、下記のデータ部分は extension Block という事が分かりました。 2A 00 00 00 00 00 EF BE 00 00 00 20 00 00 00 0000 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0000 00 00 00 01 00 00 0…

雑談: 散歩 6/8

梅雨時ですので、お外で自転車によるという訳にもいきません。雨が止んているタイミングで散歩に出かけたのですが、少しでも青空が出てくれると気分的には嬉しくなりますね。 ここ最近は Windows Shell Iten 構造を目視で読んでいるわけですが、試しているツ…

雑談:週末サイクリング 6/7

関東地方も梅雨に突入し、雨模様ですので自転車に乗れません。 仮想目的地までは残り 915km のままで変わってないのですが、この週末は乗れそうにありませんので、ローラー台で少しは運動しておきたいと思います。 近所迷惑になると良くないので、ローダー台…

SANS ポスター:Windows Artifact Analysis(4) Windows Shell Item

2.2.4. Users 0x00 shell itemのデータをパースしてみます。 先のデータ構造により、{031e4825-7b94-4dc3-b131-e946b44c8dd5}(Users Libraries) が指定されていますので、この続きのデータについては 2.2.4. Users 0x00 shell item でパースしていきます。…