チェックボックスを切り替えていて気がついたのですが・・・。 Kernel32.dll を使った場合には入りませんが、MLang.dll を使った場合、文字列を CP 50220,50221,50222 へと変換すると、最後に ESC ( B が入るんですね。*1 CP 52936 でも違いがでるようですか…

UTF-8 対応、とても魅力的な響きだ・・・＿|￣|○

ということで？ダウンロードですが、umq さんから許可いただいて下記URLに置かせていただきました。 https://www.port139.co.jp/forensics/cpconv/ cpconv-0.6.zip 35,643 bytes MD5 = ef29a3a08aeee6d7bac9e3d3a1a592b0 詳細については、ZIPファイルに含ま…

このチェックボックスをチェックすると、次のような変化がおきる。 文字列「トマト」を変換するとこんな感じ。（CP932-Shift_JISだと） \x83\x67\x83\x7D\x83\x67 ここで、Show printable chars in charcters をチェックするとこんな感じ。 \x83g\x83}\x83g …

新たに変換に使う関数の指定や、「Show printable chars in charcters.」というチェックボックスなどが増えています。入力欄も Unicode 対応になったんですかね。

umq さん*1作の cpconv 0.6 *2がリリースされました（祝） ちょっとサイズ大きいけどを画面はっちゃお。 *1:http://slashdot.jp/~umq/journal/ *2:入力した文字列を、Windowsのコードページに応じて16進数で表示してくれるアプリケーションです

念のため書いておきますが、EnCase であれば以下の test.txt から UTF-16LE(41 00 53 00 43 00 49 00 49 00)、UTF-16BE(00 41 00 53 00 43 00 49 00 49) いずれの文字列「ASCII」も（同時に）検索させることが可能です。 $ od -t x1 -A x test.txt 000000 41…

先の記事にある図3*1をWindows上でやりたくて、「パ」を作ろうとしている土曜日のお昼過ぎ。本題は「正規化」のお話なんでしょうけど、なぜか http://www.apple.com/jp/ ばかり見てしまう＿|￣|○ ひょっとして、かな〜り釣られているんだろうか・・・ *1:htt…

釣り逃げイクナイということで、逆に餌を仕掛けられた気が・・・>id:hasegawayosuke:20040917#p1 なぜ iMac G5 を欲しがっていることがばれているんだ＿|￣|○ 文字コードを理解する、いや、フォレンジックのためには iMac が必要ナノデス！という自分へのイ…

これ↓は Autopsy でセクタを直接みたところですが、先ほどと違い 0x49 の次に 0xff を置いてます。 0 41534349 49fffe41 00530043 00490049 ASCI I..A .S.C .I.I 16 00feff00 41005300 43004900 49ff0000 .... A.S. C.I. I... 先ほどは Slack space が 00 で…

ということで？（某氏の仕事を散々邪魔したあげく）出かけてしまうので、エサを投げても釣れません（違）

検索したい文字列を、文字コード毎に 16進数で検索するってことになるわけですね。その場合に活躍するのが、wiconv*1 や cpconv になるわけです。*2 もちろんお約束なので、皆さんもご一緒に『頑張れ cpconv ！！』。 *1:http://openmya.hacker.jp/hasegawa/…

Autopsy で KEYWORD SEARCH を実行すると検索結果は output/イメージ名-番号.srch というファイルに保存されます。昨日のtest.txtを含めたイメージファイルに対して『ASCII』を検索した結果は以下のように保存されています。（Unicode をチェックして実行） …

があるそうです。 「あらゆる変化を見逃さない ! Tripwire 活用セミナー」 〜 ネットワークインテグリティを保証する改ざん検知リカバリソリューションのご紹介 〜 http://www.tripwire.co.jp/events/index.html#17 SERVERW@TCH for Tripwire、って何だろ？…

Autopsy 2.03 だと、IE から KEYWORD SEARCH かけると検索結果の画面がうまく表示できないんですかね。とりあえず手元でクリックすると犬のタイトル画像がでちゃいます＿|￣|○ 先日、K1100LT さんからコメント欄にブラウザ何使ってる？というご質問がありま…

肝心の、Autopsy Forensic Browser 2.03 における KEYWORD SEARCH ですが、*.exec.log で確認したところ、UNICODE をチェックした場合には、-e l オプションで検索されるようです。

man に書いてある通りってお話ですが、結果を見るとファイルの先頭から -e で指定されたビット数分ずつ読み込んで、表示可能な文字があれば出力ということですね。 なので、-e b を指定した場合は、UTF-16LE の部分が SCII と判断され、-e l を指定した場合…

ということで？ちょいとテスト用のファイルをこんな感じ↓で作成。 $ od -t x1 -A x test.txt 000000 41 53 43 49 49 ff fe 41 00 53 00 43 00 49 00 49 000010 00 fe ff 00 41 00 53 00 43 00 49 00 49 文字列を単純に、ASCII、UTF-16LE の ACSII、UTF-16BE …

EnCase で Unicode 関係のコードページがどう扱われているか確認していたら、65002 なんて番号が表示されていることを発見。Code-Page Identifiers には載ってないし謎だ。 ということで、横道へずれまくっていたり。

UTF-32 という文字列が出てきたところで、お約束の Windows のコードページだと何になるかですが、Code-Page Identifiers*1では下記のようになっています。 Code-Page Identifiers より引用ここから『 12000 Unicode UCS-4 Little-Endian 12001 Unicode UCS-…

stringsコマンドの -e encoding オプションについて、umq さんが解説してくださっています。 ありがたやありがたやm(_ _)m バイト列に意味はあるのか(04) http://slashdot.jp/journal.pl?op=display&uid=4421&id=250488 大文字の S は置いておくとして？、b,…

っていうことで、竿をしかけたままで？移動開始。 エサにはトマトが（も）いいらしい（謎）

とりあえずソースは読めないので、man を見てみましょう。日本語訳には「-e」オプションの説明が書かれてないようですが、きっとこれを使っているんだろうと予想。 ただし、Autopsy がどのエンコード方法を指定しているのはまだ調べてません。 7. strings(ht…

Autopsy Forensic Browser 2.03 では、KEYWORD SEARCH の画面に『Unicode』のチェックボックスが増えたわけですが、これまたどう Unicode なのかを悩んでいたり。 TSK に sstrings が追加されましたが、umq さんのコメントによると GNU binutils の strings …

東北からの戻りだった昨日は、二戸駅周辺にある蕎麦屋へ行ってました。お店の名前を思い出せなかったのですが、id:wakatono:20040912#p4 さんのところに書かれてました（さすがだ）。あ”！ビール代を出してないぢゃん＞自分 結局、天ぷらを食べてないので、…

kntlistも 9/9 付けでアップデートされています。 http://users.erols.com/gmgarner/kntlist/ 関連して、TechEd の会場で MVP な方からせっかく教えていただいたコマンドを失念＿|￣|○ eXperts Connection で書き込みしないと＞自分