デジタル・フォレンジック研究会 二日目の分科会でちょっと質問したお話。デジタル証拠を扱う際に原本との同一性を確認するというのは良くでるお話です。しかし、稼働中システムのディスクイメージや、記録中のログファイルは原本とハッシュ値などによる同一…

dd で複製したディスクイメージから、イベントログ（.evt）ファイルを別の PC へ持っていきイベントビューアで開くと、『イベント ログ ファイルが壊れています』と出る。強制的に別の PC でファイルを入れ替えれば見えるけど、もっとスマートな方法はないの…

インシデントが発生しているホスト上で、調査用にプログラムを起動する場合、極力安全にプログラムを起動する良い方法ってあるのかな？、C/C++セキュアプログラミング クックブックVol.1*1 P34 なお話。 *1:http://d.hatena.ne.jp/asin/4873112001

MVPな集まりがあった際にちょこっと話題になったのですが、できれば OS の CD-ROM に Incident Responce 用のツール（orコマンド）一式を入れておいてくれると、危険かつ不要な操作や、誤った調査が減るのでは？というお話。（ライセンスの問題などあるので…

調べないといけないけど時間なくて忘れそうなものもメモしておこう。（というよりほとんど忘れかけていたので、慌ててメモしているというのが正しい）

10時開始のセッションに間に合うようにいかないと。。。

イドー*1 *1:http://www.digitalforensic.jp/Work.html

コーナー？がニフティにあるそうです。 ウイルスの恐怖展 http://www.nifty.com/cvu/top.htm “吉田戦車の「それいけ!!新型ウィルス君」”ですが、第五話が楽しみです。やっぱ漫画ですかね？（笑） を！ドラマまであるのこれ？電車のりおくれちゃうヨォorz

UTF-8 の文字列を、最小形式又は非最小形式に変換するための Windows 用（？）ツール。 utf8conv 0.1 utf8conv - UTF-8の正規化、非正規化 http://www.alles.or.jp/~hasepyon/ 課題*1はこれを使えば簡単に解けますね。 *1:http://archive.openmya.devnull.jp…

韓国語の各種コードページへ対応したバージョン、0.8 が完成！というご連絡を umq さんからいただきましたので、以下に置かせていただきました。 cpconv-0.8.zip 37,222 bytes MD5 (cpconv-0.8.zip) = 015392945c56b763ccc38dedf6312aec https://www.port139…

UTF-8 の 4byte でエンコードされている場合*1、効率よくデコードするにはどういう手段がいいんすかねぇ。 F 0 8 F B B B F 1111 0000 1000 1111 1011 1011 1011 1111 1111 0xxx 10xx xxxx 10xx xxxx 10xx xxxx --------------------------------------- 000…

消す（アンチ・フォレンジックする）なら、そいうことをやった痕跡も残さないようにしないと？！*1な〜んてことを考えて色々やると余計にボロが出てしまうんですかね。 http://computercops.biz/article5581.html インストールした完全削除ツールを別の完全…

アンチ・フォレンジックなお話がちらほら出ている今日この頃ですが、文字コード方面だと以下のご指摘がありますね。 見えない文字 http://d.hatena.ne.jp/hasegawayosuke/20041121#p3 より引用ここから、 また、見えない文字という特質を生かすと、ログファ…

「アメリカにおけるハイテク犯罪に対する捜査手段の法的側面」報告書*1が、実は解説編と翻訳編に分かれて存在することに昨日初めて気がつく（ぉぃ*2 Searching and Seizing Computers and Obtaining Electronic Evidence in Criminal Investigations*3を日本…

アクセス探偵（通称：漫画）本*1のSession02は、葉栗（パクリ）氏を追跡する話題なのですが、12/5 の勉強会では jstrings を使って調査する方法についてのお話が、某まくられさんからちょっと出たんですよね。 その話題に関連しての発言だと思うのですが、中…

12/01 の情報法科学研究会の資料中に参照されていた文献。 Forensic Examination of Digital Evidence: A Guide for Law Enforcement http://www.ojp.usdoj.gov/nij/pubs-sum/199408.htm これの日本語訳がどこかに転がっていたりしないのかしら？

別の資料を探していたのですがメモ。フォレンジックのお話も少し出てますね。 2004年の情報漏洩事件 http://www.comit.jp/sympo/TOPIC1113.ppt http://www.comit.jp/INDEXJ.htm

テーマは「アクセス探偵（誕生秘話）」だったのですが、いろいろ隠しネタがあったんですねぇ。もういっかいちゃんと読み直さないと（笑） P49 の後部座席にある機材とか、P124 の接続機材とかは見てニンマリするところですかね（笑）

ログファイルに残されたIPアドレスが、実は他人に罪を擦り付けるための改ざんだったりして。*1 *1:という「他人に罪を擦り付ける攻撃」を講師のかたがお話されてました

『ログファイルを解析せよ！』っていう課題が出されてますね！、課題の答え合わせは会場で行われるのでしょうか（笑） 【技術セッション・】犯人の足取りを追うために http://coin.nikkeibp.co.jp/coin/nc/semi/1207/11.html

同セミナー、当初の予定では“インシデント・レスポンス”のはずだったのに、なぜか某塩○氏のプレゼンは『アンチ・フォレンジック』でした！、どうして皆さん、そっちへ？（笑） 確かに技術的に楽しいお話ですので、今度 SA の勉強会（ケーキオフ）でもテーマ…

第二回の勉強会資料が公開されたそうです。 まっちゃ１３９勉強会公開資料 http://parsley.hiemalis.org/~isamik/document.html#02

アンチ・フォレンジックな話題には欠かせない？ステガノグラフィのネタ振りをいただきましたので、StegoWatch*1のデモで対抗してみました（笑） ステガノのデータを作成するには、大抵何らかのツールが必要になるので Gargoyle*2のようなアプローチのほうが…

情報法科学（Information Forensics）研究会のオープンセミナーがあり「EnCaseを使った実践講座」という部分を担当*1させていただきました。咳が止まらずゴホゴホとずっとやってまして心苦しかったのですが、いろいろと参考になるお話や質問があったりで大変…