@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

PCMCIA NIC

connect24h に投げたのですが、PCMCIA の NIC としてはこれ↓を用意してます。

NETGEAR FA511
http://www.netgearinc.co.jp/product/products/fa511.html

EnCase Network Boot Disk*1 というのがあるんですが、これの対応している推奨 NIC を新品で購入しようと思ったら全然なかったんですよね。しかも、Recommended な NIC をむか〜し購入して持っていたハズなのに紛失orz
結局、新品で購入できるものということで Not Recommended と書いてあるにも関わらず FA511 にしたのですが、いちおう手元では問題なく稼動中。
ま、安いので動かなくてもイッカァくらいの勢いで購入しましたが...
そういえば、HELIX はこの NIC 認識するのかな?あとで試してみよっと。

*1:DOSベースの起動ディスク,調査対象で起動してクロスケーブル経由でイメージの作成に使用

リモート実行

昨日、id:hasegawayosuke さんに教えていただいた(ありがとうございます)、WSH のサンプルスクリプト*1の動きを argus から確認してみる。

05/03/01 09:45:13  udp  172.17.0.20.137    <->  172.17.0.58.137  CON
05/03/01 09:45:17  tcp  172.17.0.20.3824    ->  172.17.0.58.135  RST
05/03/01 09:45:17  tcp  172.17.0.20.3825    ->  172.17.0.58.135  FIN

これって 135/tcp を使うんですかね?知らなかったorz
ちょっとググってみよう。

*1:http://www.microsoft.com/japan/technet/scriptcenter/scripts/os/process/procthd/pcthvb03.mspx

WMI関係の資料

DCOM 経由で実行するなら Remoxec を使わせていただくほうが簡単そうですかね。

Q 10. WMI でリモート コンピュータを管理するにはどうすればよいですか。
http://www.microsoft.com/japan/technet/scriptcenter/resources/wmifaq.mspx#EEAA
Connecting to WMI on a Remote Computer
http://msdn.microsoft.com/library/en-us/wmisdk/wmi/connecting_to_wmi_on_a_remote_computer.asp
Connecting Through Windows Firewall
http://msdn.microsoft.com/library/en-us/wmisdk/wmi/connecting_through_windows_firewall.asp

ツール

コマンドラインで使えるツール、とりあえずメモ。*1

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP
http://www.beyondlogic.org/solutions/processutil/processutil.htm

pulist.exe 以外で、プロセスの実行権限を表示してくれるやつを探しているんですが、なかなか見あたらないのはググりかたが下手だから?orz

*1:Sysinternalsのpstoolsでもだいたい同じことができますけど