アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

SANS ポスター:Windows Artifact Analysis(36) CFB(Compound File Binary)

Jumpリスト、LNKファイルに関連し、CFB(Compound File Binary)形式のデータを扱えるツールをメモしておきたいと思います。 Structured Storage Viewerhttp://www.mitec.cz/ssv.html Compound File Explorerhttp://sourceforge.net/projects/openmcdf/files…

SANS ポスター:Windows Artifact Analysis(35) Jump Lists

AutomaticDestinations、CustomDestinationsは共にファイル名にアプリケーションのIDが付与されます。 このIDについては、既知のリストが下記で参照できますので、この値からどのアプリケーションのJummp Listであるかを確認する事が出来ます。 List of Jump…

SANS ポスター:Windows Artifact Analysis(34) Jump Lists

customDestinations の内部構造としては SHLINK 構造ですが、ツールによっては一部パースしていない情報があるようですので、少し確認しておきます。下記は 4119a98bddddcdb4.customDestinations-ms の ShellLinkHeader(76byte分)を抜粋したものになります…

SANS ポスター:Windows Artifact Analysis(33) Jump Lists

Jump Listsには、AutomaticDestinationsフォルダとは別にCustomDestinationsフォルダがあり、こちらにも 4119a98bddddcdb4.customDestinations-ms といったファイルが保存されています。AutomaticDestinations は CFB 形式でしたが、customDestinations の内…

SANS ポスター:Windows Artifact Analysis(32) Jump Lists

LinkInfo構造の続きとしては、VolumeID構造に続きLocalBasePath (variable)が続きます。LocalBasePathにファイルパスが記録されています。 データとしては更にPage 28のExtraData構造が続く形になります。ExtraDataには幾つかのプロパティデータブロックがあ…

SANS ポスター:Windows Artifact Analysis(31) Jump Lists

LinkInfo構造の内容を確認してみます。(MS-SHLINK の Page 15)先頭4バイトがLinkInfoSizeですので、下記では 7F 00 00 00 という値から 128byte分のデータ範囲を抜粋しています。 7F 00 00 00 1C 00 00 00 01 00 00 00 1C 00 00 002D 00 00 00 00 00 00 00…

SANS ポスター:Windows Artifact Analysis(30) Jump Lists

Jump Listsファイルの内部では、データとしてMS-SHLINK構造でデータが保存されていますが、ShellLinkHeader のオフセット 20 からの 4byte LinkFlags を確認する事で LinkInfo が存在するか確認できます。下記は ShellLinkHeader の 76byte 分ですが、LinkFl…

SANS ポスター:Windows Artifact Analysis(29) Jump Lists

Jump Listsファイルの内部では、データとして MS-SHLINK 構造でデータが保存されていますが、ShellLinkHeader の後には(ヘッダ内のLinkFlagsの値に依存しますが)LinkTargetIDList と LinkInfo 構造が続く事になります。 下記は ShellLinkHeader の後に続い…

SANS ポスター:Windows Artifact Analysis(28) Jump Lists

Windows 7 の Jump Lists ファイルである、 <ApplicationID>.automaticDestinations-ms ファイル構造の続きになります。Jump Listsファイルの内部では、データとしてMS-SHLINK構造でデータが保存されています。下記はディレクトリエントリ名 1 の 128byte 分になります。 31</applicationid>…

雑談:週末サイクリング 7/6

今週は平日もロードバイクに乗ってましたので、 35km+50km+35km+50km (合計 170km)走る事ができ、仮想目標まで 515km という事になりました。 梅雨時は晴れ間を縫って走るような感じになりますが、関東地方の梅雨明けはまだ少し先になるようですので、早…

SANS ポスター:Windows Artifact Analysis(27) Jump Lists

Windows 7 の Jump Lists ファイルである、 89b0d939f117f75c.automaticDestinations-ms ファイル構造の続きになります。ここまでは通常のセクタを見てきましたが、MS-CFBには Mini FAT と Mini sector(Mini stream)というデータ構造も存在します。Compoun…

SANS ポスター:Windows Artifact Analysis(26) Jump Lists

Windows 7 の Jump Lists ファイルである、 89b0d939f117f75c.automaticDestinations-ms ファイル構造の続きになります。オフセット 1024 からの1セクタ分は[MS-CFB]のPage 23 に記載がある Compound File Directory Entry になります。ディレクトリエントリ…

SANS ポスター:Windows Artifact Analysis(25) Jump Lists

Windows 7 の Jump Lists ファイルである、 89b0d939f117f75c.automaticDestinations-ms ファイル構造の続きになります。 オフセット 512 からの1セクタ分は FAT になります。いわゆるFATファイルシステムの管理方法と基本的な考え方は同じようで、使われて…

SANS ポスター:Windows Artifact Analysis(24) Jump Lists

Windows 7 の Jump Lists ですが、AutomaticDestinations フォルダ配下にあるファイルは [MS-CFB] Compound File Binary File Format の構造になっています。MS-CFB についてはマイクロソフトからフォーマットに関する資料が提供されています。 [MS-CFB]: Co…

SANS ポスター:Windows Artifact Analysis(23) Jump Lists

Program Execution カテゴリにある Win7 Jump Lists について確認してみます。Windows 7 の Jump リストはポスターの Location で示されている下記パス配下に存在しています。 C:\Users\<user>\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations[Ap</user>…

SANS ポスター:Windows Artifact Analysis(22) AppCompatCache

Program Execution カテゴリにある AppCompatCache について確認してみます。この値は SYSTEM レジストリ ハイブの下記キー配下に値として存在しています。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache REG_BINARY…

雑談:週末サイクリング 6/29

今週も雨模様だったこともあり、今週末のサイクリングは 50km しか走れておりません。仮想目的地までは残り 685km という事になります。

SANS ポスター:Windows Artifact Analysis(21) UserAssist

Program Execution カテゴリの最初に出てくるのが UserAssist になります。GUIベースのプログラムに関する実行履歴が、各ユーザーの NTUSER.DAT ファイル内に記録されていますので、その内容を確認する事になります。 HKEY_CURRENT_USER\Software\Microsoft\…

SANS ポスター:Windows Artifact Analysis(20) Program Execution

SANS Windows Artifact Analysis ポスターにあるカテゴリ、Program Executionについて見ていきたいと思います。プログラム実行に関するアーティファクトという事で、以下の項目がリストアップされています。 UserAssist Last-Visited MRU RunMRU Start->Run …

SANS ポスター:Windows Artifact Analysis(19) Chrome Download

ポスターには記載がありませんが、Google Chrome についても確認しておきたいと思います。 Google Chrome では以下のフォルダ配下に SQLite3 形式で History ファイルが存在しています。 Win7 %userprofile%\AppData\Local\Google\Chrome\User Data\Default …

SANS ポスター:Windows Artifact Analysis(18) FireFox Download

ポスターでは FireFox 経由でダウンロードしたファイルの履歴情報として、downloads.sqlite が記述されています。 しかし、これは古いバージョンのお話で(Wiki によると FireFox 21辺りまで?)、手元で確認した FireFox 29.0.1 では downloads.sqlite ファ…

SANS ポスター:Windows Artifact Analysis(17) WebCacheV01.dat

NirSoft の ESEDatabaseView を使い WebCacheV01.dat をパースすると、MSysObjects の内容を確認する事ができます。 Container_36 がダウンロードに関するテーブルになりますので、この定義情報を MSysObjects の CSV で確認すると ObjidTable 値 74、Name …

SANS ポスター:Windows Artifact Analysis(16) WebCacheV01.dat

ESENTUTLコマンドを使うことで、ESEDB の情報を確認できますが、WebCacheV01.dat ファイルについての取り扱いが下記資料 Page 15 で詳しく扱われています。 Forensic analysis of the ESE database in Internet Explorer 10http://hh.diva-portal.org/smash/…

雑談:週末サイクリング 6/22

この週末は 50km しか自転車に乗れていません。仮想目的地までは残り 735km という事になります。不甲斐ない結果になってしまった事を反省。 天候の影響もありましたが、予定をきちんと立てずに過ごしてしまった事が原因の一つでしょうか。 小岩菖蒲園祭りに…

SANS ポスター:Windows Artifact Analysis(15) WebCacheV01.dat

esentutl /m /p1921 WebCacheV01.dat コマンドの出力結果では、Page Tagをパースして結果を表示してくれています。実際のデータ構造としては、ページの最後からページ先頭に向かって 4バイトづつ Page Tag が記録されています。 TAG 0 cb:0x0010 ib:0x0000 o…

SANS ポスター:Windows Artifact Analysis(14) WebCacheV01.dat

WebCacheV01.dat ファイルに対して RAW で KW 検索を実施すると、ESEDatabaseView から出力した CSV ファイルでは HEX 文字列?として出力されてくるデータがヒットしてきます。該当データ部分の詳細を確認する為、ESEデータベースの構造を少し確認しておき…

SANS ポスター:Windows Artifact Analysis(13) WebCacheV01.dat

WebCacheV01.datファイルをESEDatabaseViewまたはEseDbViewerでパースし、CSVデータとして出力するとかなり多くのファイルが作成されます。 出力されるCSVファイルの中に Containers.csv があり、この内容を確認するとContainer_数字のファイルの役割につい…

SANS ポスター:Windows Artifact Analysis(12) WebCacheV01.dat

WebCacheV01.datファイルは Extensible Storage Engine (ESE) Database File (EDB) 形式ですが、EseDbViewer で読み込む時にはページサイズを指定する必要があります。(EseDbViewerは管理者権限で実行しないと.datを読み込ませた時にエラーになるので注意が…

SANS ポスター:Windows Artifact Analysis(11) Index.dat

IE 10のWebCacheV01.dat ファイル内でダウンロード情報がどの様に管理されているかを確認してみたいと思います。ESEDB形式ファイルを閲覧できるツールとしては下記があります。(専用ツールという意味ではIEFがありますが) ESEDatabaseViewhttp://www.nirso…

SANS ポスター:Windows Artifact Analysis(10) Index.dat

SANS Windows Artifact Analysis: Evidence of..ポスターの File Download の項目として Index.dat/Places.sqlite が項目として出てきます。 IE では Ver9 でダウンロードマネージャが搭載され、(通常の履歴以外に)このダウンロードマネージャ用の Index.d…

雑談:週末サイクリング 6/15

本日の走行距離は 50km でしたので、仮想目的地までは残り 785km という事になります。3日間で 130km ほど走った事になりますが、2時間で 50km という目標にはまだ到達できていません。 走行中にチェーンから若干軋むような少し高周波音があった為、帰宅後に…

雑談:週末サイクリング 6/14

金曜日と土曜日でそれぞれ、30km と 50km サイクリングできましたので、仮想目的地までの距離は 835km となりました。 早朝から走り始めても、8時過ぎには夏日を感じるこの頃です、あまり強い日差しを浴びると頭痛になったりしますので、天候と体調には気を…

SANS ポスター:Windows Artifact Analysis(9) E-Mail Attachments

SANS Windows Artifact Analysis: Evidence of..ポスターの File Download の項目として E-Mail Attachments が2番目の項目として出てきます。 ここではOutlookを対象として書かれていますので、Outlookのメールボックスが通常置かれているパスとして以下が…

SANS ポスター:Windows Artifact Analysis(8) Windows Shell Item

LastVisitedPidlMRU をサンプルで一つパースしてみましたが、Excelなどオフィス製品からファイルを保存した際には少し異なる値が出力されるようです。下記は Excel からファイルを名前を付けて保存した後に出来た値の先頭部分の抜粋になります。 7B 00 43 00…

SANS ポスター:Windows Artifact Analysis(7) Windows Shell Item

SANS Windows Artifact Analysis: Evidence of..ポスターの最初の項目は File Download となっており、Open/Save MRU に含まれている OpenSavePIDlMRU を確認してみました。 ファイルダウンロードカテゴリには含まれていませんが、似たカテゴリにファイルオ…

SANS ポスター:Windows Artifact Analysis(6) Windows Shell Item

更に続きのデータとしては、Page 5 2.2.4. Users 0x00 shell item が続きます。先頭2バイトがアイテムのサイズ、クラスタイプがあり、データサイズがかなり長いことが分かります。(ファイル名などはこのデータ範囲内に入ってきています)Page 5に従ってパー…

SANS ポスター:Windows Artifact Analysis(5) Windows Shell Item

2.2.4. Users 0x00 shell item のデータをパースしてきていますが、下記のデータ部分は extension Block という事が分かりました。 2A 00 00 00 00 00 EF BE 00 00 00 20 00 00 00 0000 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0000 00 00 00 01 00 00 0…

雑談: 散歩 6/8

梅雨時ですので、お外で自転車によるという訳にもいきません。雨が止んているタイミングで散歩に出かけたのですが、少しでも青空が出てくれると気分的には嬉しくなりますね。 ここ最近は Windows Shell Iten 構造を目視で読んでいるわけですが、試しているツ…

雑談:週末サイクリング 6/7

関東地方も梅雨に突入し、雨模様ですので自転車に乗れません。 仮想目的地までは残り 915km のままで変わってないのですが、この週末は乗れそうにありませんので、ローラー台で少しは運動しておきたいと思います。 近所迷惑になると良くないので、ローダー台…

SANS ポスター:Windows Artifact Analysis(4) Windows Shell Item

2.2.4. Users 0x00 shell itemのデータをパースしてみます。 先のデータ構造により、{031e4825-7b94-4dc3-b131-e946b44c8dd5}(Users Libraries) が指定されていますので、この続きのデータについては 2.2.4. Users 0x00 shell item でパースしていきます。…

SANS ポスター:Windows Artifact Analysis(3) Windows Shell Item

昨日のレジストリキー OpenSavePidMRU ですが、バイナリデータの構造となっており、その内容は Windows Shell Item 構造となっています。 一部パースするツールがこの構造をうまく読めず、正しく結果を得られないようですので内容を確認しておきたいと思いま…

SANS ポスター:Windows Artifact Analysis(2)

SANS Windows Artifact Analysis: Evidence of..ポスターの最初の項目は File Download となっています。このカテゴリでは Open/Save MRU、E-mail Attachments、Skype History、Index.dat/Plases.sqlite、Download.sqlite と 6個のデータがリストアップされ…

SANS ポスター:Windows Artifact Analysis(1)

SANSが提供しているポスターの一つに、Windows Artifact Analysis: Evidence of..というものがあります。 Community: Cheat Sheets DFIR "Evidence of..." Poster http://digital-forensics.sans.org/media/poster_fall_2013_forensics_final.pdf このポスタ…

Log2timeline タイムラインの可視化 Splunk

Excelでタイムラインを扱うのは簡単ですが、もう少し可視化する方法としてSplunkを使う方法について詳細が下記URLの記事で紹介されています。 Forensic timeline Splunking Fast and powerful searching of timeline data http://kleinco.com.au/thoughts-ev…

雑談:週末サイクリング 6/1

今週は全然ロードバイクに乗る事ができていません。 今日は柴又100Kmというイベントがあるらしく、江戸サイも AM 6 時以降は走るのが困難そうでしたので、早朝に 35km だけ走ってきました。朝 4時起きで準備し、4時半には出発したのですが、戻ってきた 6時過…

雑談: 週末読書 5/31

会社や組織は成長や衰退を繰り返していきますが、衰退については組織中にいると中々気がつかない部分があったりするかと思います。ビジョナリーカンパニー③では、そんな企業や組織の衰退の過程について分かりやすく説明されている書籍になります。 ビジョナ…

Log2timeline(Ver 0.66)によるタイムラインの作成 ftk_dirlisting

Log2timeline Ver 0.66 に含まれているパーサとして ftk_dirlisting(Parse the content of a CSV file that is exported from FTK Imager (dirlisting))があります。 FTK Imagerでディレクトリリストを作成し、それをパースする事が出来るようですので、確…

Log2timeline(Ver 0.66)によるタイムラインの作成 mft

Log2timeline Ver 0.66 に含まれているパーサとして mft(Parse the content of a NTFS MFT file)があります。NTFS のマスターファイルテーブルをパースする為のものですが、単体で使った場合の状況を確認しておきたいと思います。 サンプルとして、NTFSフ…

Log2timeline.py(Plaso)によるタイムラインの作成(30)

Log2timeline.py(Plaso)または Ver 0.66 のパーサをこれまで試してきました。 全てのパーサをテストしてはいませんが、ここまでテストした結果を整理しておきたいと思います。 なお、SIFT 3.0 環境とテストデータによる結果ですので、処理するデータや環境…

Log2timeline.py(Plaso)によるタイムラインの作成(29)

Log2timeline.py(Plaso)または Ver 0.66 で作成した CSV 形式のタイムラインは Excel などで開く事が出来ます。そのまま Excel で取り扱う事もできますが、SANS から項目により色分けし見やすくするためのExcel テンプレートファイルが提供されています。 D…