2005-01-01から1年間の記事一覧
ネットエージェント主催の調査技術ゼミが 12/22 に開催されます。 第五回 ネットエージェント【調査技術ゼミ】開催のお知らせ http://forensic.netagent.co.jp/announce/20051222.txt 今回はメモリっす。 前回の index.dat な回の資料も公開されていますので…
今回は RAID イメージの(ソフトウェアによる)再構成ってことで、フォレンジック的にも注目な話題ですね。 【テーマ】 『 手作業で学ぶ RAID 再"考"成 』 日時 2005 年 12 月 18 日 (日曜日) 会場 大田区産業プラザ 6F C会議室 http://www.pio.or.jp/ 時間 …
昨夜教えていただいたツールm(_ _)m http://www.earthlingsoft.net/UnicodeChecker/ 戻ったら Mac OS X に入れてみよっと。
11月26日のセキュリティアカデミー勉強会の参加者募集が開始されています。 今回は講師に根津さんをお迎えして、UNIX/Linux のファイルシステムな勉強ということになります。 【テーマ】 『 UNIX/Linux ファイルシステム 』 日時 2005 年 11 月 26 日 (土曜…
BHJ での内容を踏まえて、調査する側から色々検討してみたのが、ネットエージェントでやってる調査技術ゼミ*1の第三回『文字の検索』になるわけです。こちらの資料では、調査する側から見てどの辺りを注意しなければいけないかという視点でまとめています。…
なんつーか、記事的にはデモした内容のほうが面白いのはわかるんですが、実務的には現在積まれている文字コードによる回避策や障害をどう解消するかが一番重要なんだと思うんですよね。BHJ では文字マジシャンな人が考えた手法を私のほうでさらっと紹介させ…
Shift_JIS な文字列検索を例にしたお話ですが、EFE 5.04a では 2byte で 1文字という扱いになっていないので、キーワードとして登録する文字列と、正規表現の使い方によってバイト列が一致しなくなる場合がありますよってお話です。 正規表現を使わなければ…
サロゲートペアの検索ですが、ここで書いたように、EFE 5.04a では UTF-8 でのサロゲートペア文字の検索はダメっぽいので注意が必要です。
Unicode 制御文字ですが、ここの部分は積み残している課題がいろいろあったりします。まず意図的に(検索やフィルタを逃れる目的で)制御文字を使われていることを簡単に検知する方法が個人的には思いつかないので手付かず状態ですね。 スライド 15 に書いて…
ISO-2022 系のエスケープシーケンスを検索することで、スラックスペースや未割当て領域やメモリダンプに含まれる ISO-2022 な文字列を効率よく見ていけるのでは?というお話で、日本語に関連したエスケープシーケンスの一覧になっています。 個別にキーワー…
現時点で、異なる文字コード毎に日本語文字列を抽出し検索を行うのであれば、やはり istrings、jstrings の出番かと思います。せきゅ蕎麦で id:sonodam さんと雑談しているなかでも、いろいろなローテクやアンチな手法を調査する際にも、istrings 的なアプロ…
ぬぉ!いっきに話が進んでる〜、通勤電車のなかで読まないと。 バイト列に意味はあるのか(06) http://slashdot.jp/~umq/journal/325738 バイト列に意味はあるのか(07) http://slashdot.jp/~umq/journal/325758 バイト列に意味はあるのか(010) http://slashdo…
実際どんなもんなのか使ったことがないので、テストしてみよっと。 Metasploit Anti-forensics http://www.metasploit.com/projects/antiforensics/ Coming Soon なツールは何時公開されるのか興味あるところですが、Sam Juicer ってまだ公開されていなかっ…
特別編24 では、互換等価の例として「Ⅲ」U+2162 が出ているんですが、これを NFKD または NFKC で正規化した場合、U+0049 な 「I」 の三文字「III」へと変換されるんですね。 U+2162 ↓NFKD、NFKC U+0049 U+0049 U+0049 これはこれで、バイト列が 3倍になるの…
互換漢字 U+FA19 は、正規化すると統合漢字 U+795E に変換されます。istrings で取り出した文字列を、wiconv で正規化すると互換漢字 U+FA19 は U+795E に変換されるので、「神」を検索すれば一致するようになりますね。 他にも例えば「車」U+8ECA の互換漢…
Mac OS X のテキストエディットでは U+795E を検索すると U+FA19 も一致してくれますが、 Word 2003 で「神」の検索を試したところ「あいまい検索」を有効にしても互換漢字の U+FA19 は一致しないようです。“漢字表記のゆれ(異体字)”をチェックしておけば…
wiconv-0.3 がリリースされるようなので、、正規化についてもっと勉強しておこうと、「文字の海、ビットの舟」の連載 特別編25 を読む。 特別編25 JIS X 0213の改正は、文字コードにどんな未来をもたらすか(8) 番外編:改正JIS X 0213とUnicodeの等価属性…
例えば「A1C」「A2C」「A3C」のように A と C の間に任意の1文字が含まれる文字列を検索する場合、EnCase の正規表現では「A.C」とか書くことになるかと思います。 しかし、「A U+10000 C」という文字列の場合、実際には「A U+D800 U+DC00 C」がディスク上の…
U+10000 な文字はファイル名に利用することもできるので、EFE 5.04a でどう表示されるかも確認してみました。フォントに Arial Unicode MS を指定している場合、U+10000 は □ で表示されますが、MFT レコード(のファイル名を記録しているバイト列)を直接確…
Unicode スカラー値 U+10000 〜 U+10FFFF の範囲にある文字を UTF-16 で扱う場合、サロゲートペアが使われるので、Word の作成したファイルというか、ディスク上のバイト列も当然サロゲートペアで記録されることになります。 例えば U+10000 は、 UTF-16 で…
ということで?id:hasegawayosuke:20051025#1130167134 で教えていただいた以下の URL を眺めてみる。 Searching for supplementary characters http://blogs.msdn.com/michkap/archive/2005/10/24/483965.aspx サロゲートペアな文字の検索ということですか.…
一週間もさぼってますな>はてな日記 半分は風邪の影響でくたばってたので仕方がないとしても、ご指名なサロゲートペアに関する件も書いてないなぁ...orz サロゲートペアな文字を Windows で試そうとか思って、幾つか試しているんですが Arial Unicode MS で…
展示会に足を運んだのは、N+I 以来の気がしますが、しばらく見ていなかった為か新鮮な印象がありました(笑)、というかここ最近「文字コード」ばかりでしたので、情報漏えい対策!とか聞くと新鮮に聞こえてしまったりするわけです...orz ブース的に注目した…
ネットエージェントブースにお寄りいただいた皆様*1ありがとうございました。って「お前いなかったぢゃん!!」という噂もありますが、実は 16時ごろから会場に行って1時間ほど見学してただけだったりします。(というか、17時から大事な打ち合わせがあって…
全角平仮名「ぱん」、全角カタカナ「パン」半角片仮名「パン」を検索したい場合、Word のあいまい検索を使えばいずれもヒットしてくれます。 しかし、「は U+309A」や「ハ U+309A」は当然のことながら?曖昧検索でも一致しません。 正規化形式として NFC ま…
正規化形式として、NFKC を利用すると今回想定している U+30B7 U+030B の検索で問題がでてしまいそうですね。 NFKC を利用した場合、「フォレンシ U+3099 ック」は「フォレンジック」へ合成されるので、Word などからは検索しやすくなりますが、「フォレンシ…
istrings と併用すればもう少し簡単かもしれません。dd で作ったディスクイメージファイルから、UTF-8 な文字列を取り出しそれを wiconv で UTF-16LE へ変換、さらに UTF-16LE の文字列を取り出し、ひとつのファイルにまとめます。 istrings -i UTF-8 -f -p …
Unicode エディタの「BabelPad」を使って、「フォレンジック」の「ジ」を正規化してみたいと思います。 ジ U+30B8 のプロパティを BabelPad で確認すると Mapping が U+30B7 U+3099 となっていますので、NFD で正規化すると「シ」と結合可能な濁点 U+3099 に…
EnCase であれば、Grep オプションを利用してこんな正規表現でいけますかね。 フォレンシ.ック シ U+30B7 の後ろに任意の1文字が来るパターンが一致するので、U+030B または別の文字があってもヒットします。ただ、この正規表現では「フォレンショック」でも…
