読者です 読者をやめる 読者になる 読者になる

アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

SANSからの練習問題を試す Handleの確認 (1)

フォレンジック

プロセスの確認も一通り終わりましたので、次のステップとしてSANS BlogのStage 2: Analyze Process DLLs and Handle ある内容を確認していきたいと思います。

まず、Redlineで不審なプロセスであるPID 796 iexplore.exeのHandlesを確認していきたいと思います。

Redlineでは全プロセスのHandlesを表示するのと、個別プロセスのHandlesを表示する事ができますが、とりあえずはPID 796 iexplore.exeをProcessesからダブルクリックして該当プロセスだけのHandlesを確認してみます。

ソートの順序としてはOccrenceを使います。

f:id:hideakii:20140313202844p:plain

ここではこのプロセスに関連しているものに不審なものがないか?などを見ていくことになりますが、SANS Blogの解説によれば、\Device\irykmmwwを確認しています。

RedLineに戻り、このirykmmwwを検索してみますが、何故でしょうか?RedLine上ではこの情報をHandlesから確認することができません。

念の為、プロセスのHandlesではなく、Processes⇒Handlesで全プロセスのデータを表示してirykmmwwを検索してみますが、ヒットしません。

f:id:hideakii:20140313202851p:plain

では、SANS Blogにあるように、Volatilityのhandlesプラグインを使ってPID 796の結果を確認してみます。

Offset(V)     Pid     Handle     Access Type             Details

---------- ------ ---------- ---------- ---------------- -------

0x821ace98    796        0xc   0x100020 File             \Device\HarddiskVolume1\WINDOWS\system32

0x82189028    796      0x578   0x12019f File             \Device\NamedPipe\ROUTER

0x822eff10    796      0x57c   0x1f0003 Event            

0x81f229d0    796      0x580   0x100003 Semaphore        

0x81f22a08    796      0x584   0x100003 Semaphore        

0x81f30838    796      0x588   0x100003 Semaphore        

0x822eae40    796      0x58c   0x100003 Semaphore        

0xe1c29c90    796      0x590    0x20019 Key              MACHINE\SYSTEM\CONTROLSET001\SERVICES\NETBT\PARAMETERS

0xe1117fb8    796      0x594    0x20019 Key              MACHINE\SYSTEM\CONTROLSET001\SERVICES\NETBT\PARAMETERS\INTERFACES

0xe1c29c28    796      0x598    0x20019 Key              MACHINE\SYSTEM\CONTROLSET001\SERVICES\TCPIP\PARAMETERS

0xe1e9f728    796      0x59c    0x20019 Key              MACHINE\SYSTEM\CONTROLSET001\SERVICES\TCPIP\LINKAGE

0x821aaeb8    796      0x5a0   0x100003 Semaphore        

0x822f7850    796      0x5a4   0x100003 Semaphore        

0x81db29b0    796      0x5a8   0x1200a0 File             \Device\Ip

0x81db2a48    796      0x5ac   0x100003 File             \Device\Ip

0x81f0f7f0    796      0x5b0   0x1200a0 File             \Device\Ip

0x81f0f888    796      0x5b4   0x120116 File             \Device\Tcp

0x822f7890    796      0x5b8   0x1200a0 File             \Device\Tcp

0x822ea0d0    796      0x5bc   0x12019f File             \Device\NamedPipe\ROUTER

0x81e7b450    796      0x5c0   0x1f0003 Event            

0x81df14a8    796      0x5c4  0x21f01ff File             \Device\Afd\AsyncConnectHlp

0x81d25dd0    796      0x5c8   0x1f0003 Event            

0x81dba560    796      0x5cc  0x21f0003 IoCompletion     

0x81da8450    796      0x5d8   0x1f0003 Event            

0x81fb6a98    796      0x5dc   0x1f0003 Event            

0x81e5e238    796      0x5e0   0x1f0003 Event            

0x81f1b180    796      0x5e4   0x1f0001 Mutant           ZonesLockedCacheCounterMutex

0x81e5e180    796      0x5e8   0x1f0001 Mutant           ZonesCacheCounterMutex

0x81dc0ea8    796      0x5ec   0x1f0001 Mutant           ZoneAttributeCacheCounterMutex

0x81dc0ea8    796      0x5f0   0x1f0001 Mutant           ZoneAttributeCacheCounterMutex

0xe1ead4a0    796      0x5f4    0xf0007 Section          UrlZonesSM_SYSTEM

0xe1ea4020    796      0x5f8    0x20019 Key              USER\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP

0xe1107870    796      0x5fc    0x20019 Key              MACHINE\SOFTWARE

0xe1237c20    796      0x600    0x20019 Key              USER\.DEFAULT\SOFTWARE

0xe1e0ab40    796      0x604    0x20019 Key              USER\.DEFAULT\SOFTWARE\POLICIES

0xe1d81200    796      0x608    0x20019 Key              MACHINE\SOFTWARE\POLICIES

0x81dbfea8    796      0x60c   0x1f0001 Mutant           ZonesCounterMutex

0xe1e9f480    796      0x610    0x20019 Key              USER\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\NETWORK\LOCATION AWARENESS

0xe1071628    796      0x614    0x20019 Key              USER\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP

0xe1daf348    796      0x618        0x4 Section          

0x8217ca80    796      0x61c   0x1f03ff Thread           TID 1444 PID 796

0xe1d9c2c8    796      0x620        0x4 Section          

0xe118d9e8    796      0x624   0x1f0001 Port             

0xe1e0ea98    796      0x628    0xf003f Key              MACHINE\SYSTEM\CONTROLSET001\HARDWARE PROFILES\0001

0xe10587a8    796      0x62c   0x1f0001 Port             

0xe1b62040    796      0x630        0x4 Section          SENS Information Cache

0x82158260    796      0x634   0x1f0003 Event            

0xe1c2a020    796      0x644  0x20f003f Key              USER

0x81fb2890    796      0x648   0x1f0003 Event            userenv:  User Profile setup event

0x8206ed98    796      0x654   0x1f0003 Event            

0x82181968    796      0x658   0x1f03ff Thread           TID 1940 PID 796

0x81f778a8    796      0x65c   0x1f0003 Event            

0x81f38708    796      0x664   0x100003 Semaphore        

0x81f75988    796      0x66c   0x1f0003 Event            

0x81d30020    796      0x670   0x1f03ff Thread           TID 684 PID 796

0x81ddb370    796      0x674   0x1f0003 IoCompletion     

0x822dc938    796      0x678   0x1f0003 IoCompletion     

0xe10fcf68    796      0x67c   0x1f0001 Port             OLE426595E20868494A926C306C78DA

0x81ddb370    796      0x680   0x1f0003 IoCompletion     

0x81e88b40    796      0x68c   0x1f0001 Mutant           c:!windows!system32!config!systemprofile!cookies!

0xe122fd90    796      0x690    0xf0007 Section          C:_WINDOWS_system32_config_systemprofile_Local Settings_Temporary Internet Files_Content.IE5_index.dat_32768

0x81f07b88    796      0x694   0x12019f File             \Device\HarddiskVolume1\WINDOWS\system32\config\systemprofile\Local Settings\History\History.IE5\index.dat

0x81dca968    796      0x698   0x1f0001 Mutant           c:!windows!system32!config!systemprofile!local settings!history!history.ie5!

0xe1118c78    796      0x69c    0x20019 Key              MACHINE\SOFTWARE\MICROSOFT\TRACING\RASAPI32

0x81db7350    796      0x6a0   0x1f0001 Mutant           c:!windows!system32!config!systemprofile!local settings!temporary internet files!content.ie5!

0x81dbb930    796      0x6a4   0x1f0003 Event            

0x822f6da0    796      0x6a8   0x100003 Semaphore        

0x81df0a80    796      0x6ac   0x100000 Mutant           WininetStartupMutex

0x820708b8    796      0x6b0   0x1f0003 Event            

0xe195d7a0    796      0x6b4    0xf0007 Section          C:_WINDOWS_system32_config_systemprofile_Cookies_index.dat_16384

0xe1d3f0f0    796      0x6b8    0xf0007 Section          C:_WINDOWS_system32_config_systemprofile_Local Settings_History_History.IE5_index.dat_32768

0x822f13f8    796      0x6bc   0x1f0001 Mutant           

0x821645c0    796      0x6c0   0x100000 Mutant           WininetProxyRegistryMutex

0x81dae4a0    796      0x6c4   0x1f0003 Timer            

0x822f1818    796      0x6c8  0x21f0003 Event            

0x81ddd068    796      0x6d0   0x1f0003 Event            

0x81f1e610    796      0x6d4   0x1f0003 Event            

0x81eaacc0    796      0x6d8   0x1f0003 Event            

0x82184258    796      0x6dc   0x100003 Semaphore        

0x81e55ac0    796      0x6e0   0x1f0003 Event            

0x822e6da8    796      0x6e4   0x1f03ff Thread           TID 204 PID 796

0x81dbb420    796      0x6e8   0x1f0003 IoCompletion     

0x81f03b70    796      0x6ec   0x100020 File             \Device\HarddiskVolume1\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83

0x822c47c8    796      0x6f0   0x100000 Mutant           RasPbFile

0x822fe1d0    796      0x6f4   0x1f0003 Event            DINPUTWINMM

0x81d30828    796      0x6f8   0x1f0001 Mutant           

0x8223c608    796      0x6fc   0x100003 Semaphore        

0xe15db460    796      0x700    0x20019 Key              MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\DRIVERS32

0x8216eec8    796      0x704   0x100003 Semaphore        

0x81d296e0    796      0x708   0x1f0003 Event            

0x822deb40    796      0x70c   0x1f0003 Event            

0x8215e688    796      0x710   0x100003 Semaphore        

0x81dda7b8    796      0x714   0x1f0003 Event            

0x82149c88    796      0x718   0x12019f File             \Device\HarddiskVolume1\WINDOWS\system32\config\systemprofile\Cookies\index.dat

0x81f35df0    796      0x71c   0x1f0003 Event            

0xe178f070    796      0x720        0x4 Section          

0x81f19978    796      0x724   0x12019f File             \Device\HarddiskVolume1\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat

0xe157cd18    796      0x728   0x1f0001 Port             

0x81f175a0    796      0x72c   0x1f0003 Semaphore        shell.{210A4BA0-3AEA-1069-A2D9-08002B30309D}

0x821954a0    796      0x738   0x100000 Mutant           _!MSFTHISTORY!_

0xe12ab200    796      0x73c   0x1f0001 Port             

0xe11357f0    796      0x740    0x20019 Key              MACHINE\SOFTWARE

0xe10847f0    796      0x744    0x20019 Key              USER\.DEFAULT\SOFTWARE

0xe1dadd80    796      0x748    0x20019 Key              USER\.DEFAULT\SOFTWARE\POLICIES

0xe15dc898    796      0x74c    0x20019 Key              MACHINE\SOFTWARE\POLICIES

0x8216d988    796      0x750      0x37f WindowStation    WinSta0

0x81eaccf8    796      0x754    0x201ff Desktop          Default

0x822e9578    796      0x758   0x12019f File             \Device\irykmmww

0x81f2a898    796      0x75c  0x21f0003 Event            

0x81f9eac8    796      0x760   0x1f03ff Thread           TID 1904 PID 796

0x8217ca80    796      0x764   0x1f03ff Thread           TID 1444 PID 796

0x81f387f8    796      0x768   0x1f0003 Event            

0x81dc5800    796      0x76c   0x1f0003 Event            

0x8217ca80    796      0x770   0x1f03ff Thread           TID 1444 PID 796

0xe1c5ade8    796      0x774    0xf003f Key              MACHINE\SYSTEM\CONTROLSET001\SERVICES\WINSOCK2\PARAMETERS\NAMESPACE_CATALOG5

0x81e7d5b8    796      0x778   0x1f0003 Event            

0xe111e2a8    796      0x77c    0xf003f Key              MACHINE\SYSTEM\CONTROLSET001\SERVICES\WINSOCK2\PARAMETERS\PROTOCOL_CATALOG9

0x822ed538    796      0x780   0x1f0003 Event            

0x81dd17a8    796      0x784   0x1f0003 Event            

0x81d298c8    796      0x788   0x100020 File             \Device\HarddiskVolume1\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83

0x82178de8    796      0x78c   0x100003 Event            

0x82070c98    796      0x790      0xa84 WmiGuid          

0x81f2a3b8    796      0x794   0x1f0003 Event            

0x81fb7110    796      0x798   0x1f0003 Event            

0x81dbdda0    796      0x79c   0x1f0fff Process          iexplore.exe(796)

0x81e72220    796      0x7a0   0x1f0003 Event            

0x81f224c0    796      0x7a4   0x12019f File             \Device\WMIDataDevice

0x81d1cf48    796      0x7a8      0xa84 WmiGuid          

0x822ef8a8    796      0x7ac   0x1f0003 Event            

0x81dcc028    796      0x7b0   0x12019f File             \Device\WMIDataDevice

0xe12f5830    796      0x7b4    0x2001f Key              USER\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS

0xe1d06f10    796      0x7b8  0x20f003f Key              USER\.DEFAULT

0xe1dadec0    796      0x7bc  0x20f003f Key              MACHINE\SOFTWARE\CLASSES

0x81dd0338    796      0x7c0   0x100020 File             \Device\HarddiskVolume1\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83

0x81ddb8a0    796      0x7c4   0x100020 File             \Device\HarddiskVolume1\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83

0x81f59f90    796      0x7c8   0x100001 File             \Device\KsecDD

0x81f5ae28    796      0x7cc   0x1f0003 Semaphore        shell.{A48F1A32-A340-11D1-BC6B-00A0C90312E1}

0xe1741030    796      0x7d0    0x2000f Directory        BaseNamedObjects

0x8216d988    796      0x7d4      0x37f WindowStation    WinSta0

0x82332120    796      0x7d8    0xf00cf Desktop          Default

0x8215fca0    796      0x7dc   0x1f0003 Event            

0x81f662b0    796      0x7e0    0xf016e WindowStation    Service-0x0-3e7$

0xe14f9610    796      0x7e4  0x20f003f Key              MACHINE

0x81db83c0    796      0x7e8   0x100003 Semaphore        

0xe18c3978    796      0x7ec  0x21f0001 Port             

0xe172a940    796      0x7f0    0xf000f Directory        Windows

0x81d32840    796      0x7f4   0x100003 Semaphore        

0xe15a9e98    796      0x7f8        0x3 Directory        KnownDlls

0xe10096e0    796      0x7fc    0xf0003 KeyedEvent       CritSecOutOfMemoryEvent

 確かに、こちらの出力結果では以下の様なFile項目が確認できます。

0x822e9578    796      0x758   0x12019f File             \Device\irykmmww

RedLine上のHandlesではこれが発見できない理由は不明ですが、ひとつのツールに依存してはいけないという良い例かもしれません。枯れた技術分野ではありませんので、ツールよって解釈の違いや、単に不具合の影響などで結果が異なる可能性は常に存在しています。(または、単に私の使い方に問題があるだけである可能性もあります)

RedLineでもHandlesではなく、Driver Modulesではこの存在を確認できますので、Handlesで見つけられていなくても、他の項目でこれを確認する事は可能です。

f:id:hideakii:20140313202905p:plain

逆に、Volatilityのhandlesには Occrence の項目がなく、発生数でソートするといったことができない不便な部分もあります。

また、RedLineであればStringsの項目でこれを確認することもできます。

f:id:hideakii:20140313202911p:plain

 どちらかといえば、問題があるとすれば、このモジュールに人間が気が付くか否かではないでしょうか?

SANS BlogではHandlesの確認の前に、各プロセスのDLLsを確認しています。という事は私は手順を間違えているわけですね。

改めて、SANSと同じ手順でPID 796 iexplore.exeのDLLをRedLineで確認してみたいと思います。sectionsでこれを確認することが出来ました。

f:id:hideakii:20140313202917p:plain

これはなかなか面白い結果ではないでしょうか?irykmmwwという名前のファイルは2件ありますが、拡張子に差異があることが見てわかります。ソート順を名前にしていないと気が付きにくいかもしれません。

以下はVolatilityの結果ですが、同じファイルに気がつけますか?

************************************************************************

iexplore.exe pid:    796

Command line : "C:\Program Files\Internet Explorer\iexplore.exe"

Service Pack 3

 

Base             Size  LoadCount Path

---------- ---------- ---------- ----

0x00400000    0x9b000     0xffff C:\Program Files\Internet Explorer\iexplore.exe

0x7c900000    0xaf000     0xffff C:\WINDOWS\system32\ntdll.dll

0x7c800000    0xf6000     0xffff C:\WINDOWS\system32\kernel32.dll

0x77dd0000    0x9b000     0xffff C:\WINDOWS\system32\ADVAPI32.dll

0x77e70000    0x92000     0xffff C:\WINDOWS\system32\RPCRT4.dll

0x77fe0000    0x11000     0xffff C:\WINDOWS\system32\Secur32.dll

0x77f10000    0x49000     0xffff C:\WINDOWS\system32\GDI32.dll

0x7e410000    0x91000     0xffff C:\WINDOWS\system32\USER32.dll

0x77c10000    0x58000     0xffff C:\WINDOWS\system32\msvcrt.dll

0x77f60000    0x76000     0xffff C:\WINDOWS\system32\SHLWAPI.dll

0x7c9c0000   0x817000     0xffff C:\WINDOWS\system32\SHELL32.dll

0x774e0000   0x13d000     0xffff C:\WINDOWS\system32\ole32.dll

0x78130000   0x127000     0xffff C:\WINDOWS\system32\urlmon.dll

0x77120000    0x8b000     0xffff C:\WINDOWS\system32\OLEAUT32.dll

0x78000000    0x45000     0xffff C:\WINDOWS\system32\iertutil.dll

0x77c00000     0x8000     0xffff C:\WINDOWS\system32\VERSION.dll

0x76390000    0x1d000        0x3 C:\WINDOWS\system32\IMM32.DLL

0x773d0000   0x103000        0x5 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll

0x5d090000    0x9a000        0x1 C:\WINDOWS\system32\comctl32.dll

0x10000000     0x9000        0x1 C:\WINDOWS\system32\irykmmww.d1l

0x78050000    0xd0000        0x2 C:\WINDOWS\system32\WININET.dll

0x00710000     0x9000        0x2 C:\WINDOWS\system32\Normaliz.dll

0x71ab0000    0x17000        0xd C:\WINDOWS\system32\WS2_32.dll

0x71aa0000     0x8000       0x10 C:\WINDOWS\system32\WS2HELP.dll

0x00150000     0xc000        0x1 C:\WINDOWS\system32\irykmmww.dll

0x5ad70000    0x38000        0x2 C:\WINDOWS\system32\uxtheme.dll

0x76fd0000    0x7f000        0x2 C:\WINDOWS\system32\CLBCATQ.DLL

0x77050000    0xc5000        0x2 C:\WINDOWS\system32\COMRes.dll

0x00e80000   0x2c5000        0x1 C:\WINDOWS\system32\xpsp2res.dll

0x76ee0000    0x3c000        0x2 C:\WINDOWS\system32\RASAPI32.dll

0x76e90000    0x12000        0x3 C:\WINDOWS\system32\rasman.dll

0x5b860000    0x55000        0x4 C:\WINDOWS\system32\NETAPI32.dll

0x76eb0000    0x2f000        0x2 C:\WINDOWS\system32\TAPI32.dll

0x76e80000     0xe000        0x3 C:\WINDOWS\system32\rtutils.dll

0x76b40000    0x2d000        0x2 C:\WINDOWS\system32\WINMM.dll

0x769c0000    0xb4000        0x1 C:\WINDOWS\system32\USERENV.dll

0x722b0000     0x5000        0x1 C:\WINDOWS\system32\sensapi.dll

0x71a50000    0x3f000        0x4 C:\WINDOWS\System32\mswsock.dll

0x76fc0000     0x6000        0x1 C:\WINDOWS\system32\rasadhlp.dll

0x662b0000    0x58000        0x1 C:\WINDOWS\system32\hnetcfg.dll

0x71a90000     0x8000        0x1 C:\WINDOWS\System32\wshtcpip.dll

0x77c70000    0x24000        0x1 C:\WINDOWS\system32\msv1_0.dll

0x76d60000    0x19000        0x1 C:\WINDOWS\system32\iphlpapi.dll

 

実は私は最初dlllistの結果を確認したのですが、この拡張子のトリックにさっぱり気が付いていませんでした。