2004-01-01から1年間の記事一覧
日本でも受けられるそうですが、「鑑識用ソフトウェア」ってすごいな・・・。 Guidance Software 鑑識用ソフトウェア「EnCase」の操作技能を認定 http://it.prometric-jp.com/testlist/f_j.html この試験は受けるのに条件があるんですけど、私のバヤイ問題は…
ポリテクセンター関西*1へ、一昨日からきています。今回も「不正アクセス調査技法」の講師ですが、今年度の関西はこれにて終了、また来年度ですね。 東京(っていうか幕張の高度ポリテクセンター)*2では、12/2〜 12/3「セキュアなインターネットサーバ構築…
行ってみたいな CSI*1 の Computer Security Conference and Exhibition。 Forensics に関する発表も、興味深そうなのが色々とあったみたいですね。 CSI 31st Annual Security Conference and Exhibition Conference Overview Forensics Track https://www.c…
とりあえず日本に帰ってから反応しますm(_ _)m*1 *1:いいかげん、出張中でもメールを送信できる体制を整えないといけないなぁ
今日知った URL を忘れないうちにメモしておこう。 Fight spyware http://www.microsoft.com/athome/security/spyware/default.mspx 日本語のページはまだ無いのかな?
11月2日付けで 1.73 がリリースされていますね。新しいツールが追加されているようですが調べている時間がない_| ̄|○
Windows 2000以降では、EFS 関連のコマンドとして CIPHER*1 があります。 このコマンドの /W オプションを利用すると、指定したドライブやフォルダにある未使用領域を上書きし、削除されたファイル(データ)を復元できないように消してくれます。このコマン…
新しい会社を設立されたそうで、おめでとうございますm(_ _)m Synaptive Solutions Ltd. http://www.synaptive.com/jp/
気がついたら EnCase のバージョン 4.20 がリリースされていますね。日本語版も画面表示の不具合*1を直した版がリリースされていますが、とりあえず英語版 4.20 ゲットでしょうね。 EnCaseョ Forensic Edition and EnCaseョ Enterprise Edition Version 4.20…
11月20日に長野方面で開催予定の『そばと温泉と情報セキュリティ*1』勉強会の参加者募集が開始されているそうです。 セキュそばの告知? http://d.hatena.ne.jp/Miem/20041026 とりあえず、参加申し込み完了。蕎麦いっぱい食べるぞぉ! ネタはやはり『アンチ…
早く日本へ帰りたい・・・。
ちなみに、こちらの講師(元警官)は“フォレンシック”という発音でした。
Computer Forensics のトレーニング「EnCase Intermediate Analysis and Reporting*1」を LA にあるGuidance Software社で受けてました。 私は英語さっぱりなので、講師の冗談が十分に理解できなくてとても残念でした。*2 EnCase の利用方法についても、中級…
噂では苗字が似てるらしい、アクセス探偵さんが日誌を公開されています。 アクセス探偵日誌 http://d.hatena.ne.jp/Detective/
2004年12月20日〜21日まで、ワークショップが開催されるそうです。 デジタル・フォレンジック研究会 http://www.digitalforensic.jp/
@policeの第8回コラムで、佐々木先生がデジタル・フォレンジックについて解説されていますね。 デジタル・フォレンジック http://www.cyberpolice.go.jp/column/explanation08.html
ファイル拡張子は不明 or なし
ファイル拡張子は .jpg, .jpe, .jpeg のいずれかとなっている。*1 *1:assocコマンドを使い,jpegfileに関連付けられている拡張子を確認したほうがいいですけど
以下の条件のもと、システム上に存在する検証用 JPEG 画像ファイルを探し出す手順を述べよ。 条件 1.ウイルス対策ソフトでは検出できない 2.画像ファイルとして表示される 3.ハッシュ値は不明 4.ファイルヘッダ( FF D8 FF E0 00 10 4A 46 49 46 00 01 02 00 …
MS04-028 の脆弱性を利用した、日本語版での検証用 JPEG 画像ファイルが、James 氏のところで公開されています。 penetration technique research site http://www.geocities.jp/ptrs_sec/index.htm せっかくですから、この MS04-028-Exploit.jpg ファイルを…
5月に開催された JSSM セキュリティ法制研究会の勉強会「米国におけるコンピュータ・フォレンジック・ビジネス」*1で、高橋先生が紹介されていた資料なのですが、PDF で公開されているのですね。 「アメリカにおけるハイテク犯罪に対する捜査手段の法的側面…
[Snort-users-jp:01303]、で流れたのはこれ↓かな? MS04-028 PoCs and Exploits released / UPDATE: Snort Rules http://isc.sans.org/diary.php?date=2004-09-22 FF FE 00 01 以外のパターンとして、現在のところ何があるのかがわかりますね。
MS04-028 の脆弱性を狙った画像を検出するのに、パターンの一つである FF FE 00 01 を使うとどれくらいのファイルが検出されるのかちょっとテストしてみました。 検索対象のファイルは 51,060、FF FE 00 01 がヒット(検出)した数は 3,952 でした。全てのファ…
ちなみに、Sleuth Kit 1.72 の file ではこんな↓感じ。 ./file CreateUserX.jpg CreateUserX.jpg: JPEG image data, JFIF standard 1.02 ヘッダ部分 $ od -t x1 -A x CreateUserX.jpg 000000 ff d8 ff e0 00 10 4a 46 49 46 00 01 02 00 00 64 000010 00 60 …
お約束?ということで、strigns した場合、poc.jpg では x という文字がずらずらと表示されるので、おかしいということに気がつくと思います。 $ ./sstrings poc.jpg xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx…
The Sleuth Kit 1.72 に付属の file コマンドを使い、最初に公開されたほうの poc.jpg を調べるとこんな↓感じになります。 $ ./file poc.jpg poc.jpg: JPEG image data, comment: "\377\376\020\002 " JPEG 画像として認識*1されるので、sorter による検査で…
セキュリティホール memo ML で話題になってますが、疑惑の JPEG 画像を検出できるのかちょっとテスト。 id:tessy:20040917#p1 さんのところで解説されていますが、最初に公開された poc.jpg は普通に画像として表示されます。[memo:7801] *1で紹介されてい…
ケーキ無しですが、セキュリティアカデミーの勉強会(通称:ケーキオフ)が、10/10(日曜日)に開催されます。 今回はオープンということで、どなたでもご参加いただけます。参加希望のかたは以下を参照いただき、お気軽にお申し込みください。 ITエンジニアリ…
次の jstrings でどう扱われるのか興味あるところですが>id:hasegawayosuke:20040922#p3 「アマゾソ」を検索した場合、後者は引っかかりますが、U+FEFF なほうはダメですね_| ̄|○*1 検索の実行前に障害となる文字?を排除したほうがいいんでしょうかねぇ。…
他にも色々なパターンがありますが、CP932(Shift_JIS) で 16進数表示した場合にはこんな↓感じ。 port139 \x70\x6F\x72\x74\x31\x33\x39 PORT139 \x50\x4F\x52\x54\x31\x33\x39 port139 \x82\x90\x82\x8F\x82\x92\x82\x94\x82\x50\x82\x52\x82\x58 P…
