[Snort-users-jp:01303]、で流れたのはこれ↓かな？ MS04-028 PoCs and Exploits released / UPDATE: Snort Rules http://isc.sans.org/diary.php?date=2004-09-22 FF FE 00 01 以外のパターンとして、現在のところ何があるのかがわかりますね。

MS04-028 の脆弱性を狙った画像を検出するのに、パターンの一つである FF FE 00 01 を使うとどれくらいのファイルが検出されるのかちょっとテストしてみました。 検索対象のファイルは 51,060、FF FE 00 01 がヒット(検出)した数は 3,952 でした。全てのファ…

ちなみに、Sleuth Kit 1.72 の file ではこんな↓感じ。 ./file CreateUserX.jpg CreateUserX.jpg: JPEG image data, JFIF standard 1.02 ヘッダ部分 $ od -t x1 -A x CreateUserX.jpg 000000 ff d8 ff e0 00 10 4a 46 49 46 00 01 02 00 00 64 000010 00 60 …

お約束？ということで、strigns した場合、poc.jpg では x という文字がずらずらと表示されるので、おかしいということに気がつくと思います。 $ ./sstrings poc.jpg xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx…

The Sleuth Kit 1.72 に付属の file コマンドを使い、最初に公開されたほうの poc.jpg を調べるとこんな↓感じになります。 $ ./file poc.jpg poc.jpg: JPEG image data, comment: "\377\376\020\002 " JPEG 画像として認識*1されるので、sorter による検査で…

セキュリティホール memo ML で話題になってますが、疑惑の JPEG 画像を検出できるのかちょっとテスト。 id:tessy:20040917#p1 さんのところで解説されていますが、最初に公開された poc.jpg は普通に画像として表示されます。[memo:7801] *1で紹介されてい…

ケーキ無しですが、セキュリティアカデミーの勉強会(通称：ケーキオフ)が、10/10（日曜日）に開催されます。 今回はオープンということで、どなたでもご参加いただけます。参加希望のかたは以下を参照いただき、お気軽にお申し込みください。 ITエンジニアリ…

次の jstrings でどう扱われるのか興味あるところですが＞id:hasegawayosuke:20040922#p3 「アマゾソ」を検索した場合、後者は引っかかりますが、U+FEFF なほうはダメですね＿|￣|○*1 検索の実行前に障害となる文字？を排除したほうがいいんでしょうかねぇ。…

他にも色々なパターンがありますが、CP932(Shift_JIS) で 16進数表示した場合にはこんな↓感じ。 port139 \x70\x6F\x72\x74\x31\x33\x39 PORT139 \x50\x4F\x52\x54\x31\x33\x39 ｐｏｒｔ１３９ \x82\x90\x82\x8F\x82\x92\x82\x94\x82\x50\x82\x52\x82\x58 Ｐ…

チェックボックスを切り替えていて気がついたのですが・・・。 Kernel32.dll を使った場合には入りませんが、MLang.dll を使った場合、文字列を CP 50220,50221,50222 へと変換すると、最後に ESC ( B が入るんですね。*1 CP 52936 でも違いがでるようですか…

UTF-8 対応、とても魅力的な響きだ・・・＿|￣|○

ということで？ダウンロードですが、umq さんから許可いただいて下記URLに置かせていただきました。 https://www.port139.co.jp/forensics/cpconv/ cpconv-0.6.zip 35,643 bytes MD5 = ef29a3a08aeee6d7bac9e3d3a1a592b0 詳細については、ZIPファイルに含ま…

このチェックボックスをチェックすると、次のような変化がおきる。 文字列「トマト」を変換するとこんな感じ。（CP932-Shift_JISだと） \x83\x67\x83\x7D\x83\x67 ここで、Show printable chars in charcters をチェックするとこんな感じ。 \x83g\x83}\x83g …

新たに変換に使う関数の指定や、「Show printable chars in charcters.」というチェックボックスなどが増えています。入力欄も Unicode 対応になったんですかね。

umq さん*1作の cpconv 0.6 *2がリリースされました（祝） ちょっとサイズ大きいけどを画面はっちゃお。 *1:http://slashdot.jp/~umq/journal/ *2:入力した文字列を、Windowsのコードページに応じて16進数で表示してくれるアプリケーションです

念のため書いておきますが、EnCase であれば以下の test.txt から UTF-16LE(41 00 53 00 43 00 49 00 49 00)、UTF-16BE(00 41 00 53 00 43 00 49 00 49) いずれの文字列「ASCII」も（同時に）検索させることが可能です。 $ od -t x1 -A x test.txt 000000 41…

先の記事にある図3*1をWindows上でやりたくて、「パ」を作ろうとしている土曜日のお昼過ぎ。本題は「正規化」のお話なんでしょうけど、なぜか http://www.apple.com/jp/ ばかり見てしまう＿|￣|○ ひょっとして、かな〜り釣られているんだろうか・・・ *1:htt…

釣り逃げイクナイということで、逆に餌を仕掛けられた気が・・・>id:hasegawayosuke:20040917#p1 なぜ iMac G5 を欲しがっていることがばれているんだ＿|￣|○ 文字コードを理解する、いや、フォレンジックのためには iMac が必要ナノデス！という自分へのイ…

これ↓は Autopsy でセクタを直接みたところですが、先ほどと違い 0x49 の次に 0xff を置いてます。 0 41534349 49fffe41 00530043 00490049 ASCI I..A .S.C .I.I 16 00feff00 41005300 43004900 49ff0000 .... A.S. C.I. I... 先ほどは Slack space が 00 で…

ということで？（某氏の仕事を散々邪魔したあげく）出かけてしまうので、エサを投げても釣れません（違）

検索したい文字列を、文字コード毎に 16進数で検索するってことになるわけですね。その場合に活躍するのが、wiconv*1 や cpconv になるわけです。*2 もちろんお約束なので、皆さんもご一緒に『頑張れ cpconv ！！』。 *1:http://openmya.hacker.jp/hasegawa/…

Autopsy で KEYWORD SEARCH を実行すると検索結果は output/イメージ名-番号.srch というファイルに保存されます。昨日のtest.txtを含めたイメージファイルに対して『ASCII』を検索した結果は以下のように保存されています。（Unicode をチェックして実行） …

があるそうです。 「あらゆる変化を見逃さない ! Tripwire 活用セミナー」 〜 ネットワークインテグリティを保証する改ざん検知リカバリソリューションのご紹介 〜 http://www.tripwire.co.jp/events/index.html#17 SERVERW@TCH for Tripwire、って何だろ？…

Autopsy 2.03 だと、IE から KEYWORD SEARCH かけると検索結果の画面がうまく表示できないんですかね。とりあえず手元でクリックすると犬のタイトル画像がでちゃいます＿|￣|○ 先日、K1100LT さんからコメント欄にブラウザ何使ってる？というご質問がありま…

肝心の、Autopsy Forensic Browser 2.03 における KEYWORD SEARCH ですが、*.exec.log で確認したところ、UNICODE をチェックした場合には、-e l オプションで検索されるようです。

man に書いてある通りってお話ですが、結果を見るとファイルの先頭から -e で指定されたビット数分ずつ読み込んで、表示可能な文字があれば出力ということですね。 なので、-e b を指定した場合は、UTF-16LE の部分が SCII と判断され、-e l を指定した場合…

ということで？ちょいとテスト用のファイルをこんな感じ↓で作成。 $ od -t x1 -A x test.txt 000000 41 53 43 49 49 ff fe 41 00 53 00 43 00 49 00 49 000010 00 fe ff 00 41 00 53 00 43 00 49 00 49 文字列を単純に、ASCII、UTF-16LE の ACSII、UTF-16BE …