読者です 読者をやめる 読者になる 読者になる

アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

SANS ポスター:Windows Artifact Analysis(1)

フォレンジック

SANSが提供しているポスターの一つに、Windows Artifact Analysis: Evidence of..というものがあります。

Community: Cheat Sheets

DFIR "Evidence of..." Poster

http://digital-forensics.sans.org/media/poster_fall_2013_forensics_final.pdf

このポスターでは、カテゴリ毎にどの様な Artifact が発生するのかをグループ化してあり、概要を把握するにはとても見やすいものになっています。Artifact を網羅しているわけではないですが、データを読み進める上で参考になる箇所が多いのではないでしょうか、個人的には特に見落としなどが無いかを考える上で参考にしています。

※アーティファクトのあるレジストリキーのパスを記憶してないので、ポスターみて確認した方が早いという点もあります。(明記されてないキーであっても、だいたい名前同じですから思い出す上でも役立つはずです)

 

Windows Artifact Analysis: Evidence of.. では下記 8個のカテゴリがあり、それぞれのカテゴリ毎にデータが列挙されています。

  • File Download
  • Program Execution
  • File Opening/Creation
  • Deleted File or File Knowlege
  • Physical Location
  • USB or Drive Usage
  • Account Usage
  • Browser Usage

カテゴリ内の Artifact は多数ありますが、Log2timelineでパース対象としている項目が多く含まれている事が確認できます。

 Log2timelineは文字化けなどを意識する必要はありますが、上記のデータを効率よく時系列に並べるという点ではやはり有用ですね。