アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

実行せずに作成元を確認したい

手元に送られてきている“パスワードで解除可能な暗号化されたデータを持つ実行ファイル”(長ったらしいので、こいうのを短く言い表すよい用語は何でしょうかね?)の作成元の社名やアプリケーション名(製品名)を、実行せずに確認できるかバイナリエディタで少し確認してみたのですがなかなか興味深いですね。
比較的、どのファイルも中身をバイナリエディタで確認したところで、目視で確認が可能な情報はほとんどないようですが、一種類だけ暗号化されているファイル名を読めるのがありました。
どちらかというと高機能?なやつで、中身を取り出すことができない仕組みをもっており、拡張子に対応するアプリケーションで中身を閲覧できますが、外部にデータ保存することはできないようになっています。ただ、ここまでくると単に暗号化を解除するためのプログラムということでなく、ひとつのアプリケーションというか中身も大きくて、エラーメッセージなども目視で確認可能なようで、暗号化されているファイル名だけでなく「名前を解決することができませんでした」と通信が発生しそうなエラーメッセージなどもあり、思わずヘェ〜と思ってしまいました。
こいうのは音的にはプログラム独特の?ピーガーがほかより少し長めに存在し、データ部分のノイズ音があとに続くような感じですが、まぁプログラムの部分が長いのでそいう曲になるんでしょうかね。

バイナリで確認してみて製造元などの情報が得られなければ、実行してみるしかないわけですが、どうも「電子メールに添付されている実行ファイル」をダブルクリックするのには抵抗がありますが...orz