ssh のトラフィックをグラフにしてみると、いかに集中力が長続きしていないかがよくわかるorz Gmailへのアクセス量をグラフにしてみませんか？＞誰となく さて、これを Covert Channel*1 の検出にも使えないかちょっと妄想してみよう。 *1:5/28に開催予定の…

argus の ragraph を試しているのですが、RRDtool の最新版を使うようにしたらコケル。ragraph がデフォルトで使うことになっている rrdtool-1.0.40 を入れたらすんなり動くorz いろいろグラフにしてみる・・・確かにこれは便利ですね〜

とりあえずのメモ。たくさん転がってる気がしていたのに、意外にすぐ見つからない？ あとは WSH 経由で確かリモートから実行できたような... Remoxec http://www.securityfriday.com/tools/Remoxec.html PsExec http://www.sysinternals.com/ntw2k/freeware/…

id:tessyさんのところを見て、資料をダウンロード Honeypot Forensics http://www.ccc.de/congress/2004/fahrplan/event/105.en.html このほかにも「Hidden Data in Internet Published Documents」とか興味深そうなタイトルがいろいろと並んでいますねぇ。

http://www.l0t3k.org/security/tools/forensic/ http://biew.sourceforge.net/en/biew.html http://www001.upp.so-net.ne.jp/yamashita/product/index.htm

最近、東京の仕事場に引いてあるADSL回線が妙に遅いなぁと感じていたのですが、きっと ISP が混んでいるんだろうくらいに考えていたら回線がとても遅くなっていた罠。 以前は 4Mbps くらい出ていたのですが、計ってみたら下りでも 300kbps しかでないorz ISO…

.NET Framework を必要とするので使ってなかったのですが、argus でいろいろ試すのにタブが使いたくなったのでインストールしてみる。 Terminal Emulator VaraTerm http://www.routrek.co.jp/product/varaterm/

フィルタで問題なさそうな通信を除外していくと、ポートスキャンの通信が残ってくるんですが、かなり邪魔なのでこれをうまくフィルタしたいなぁ...

Argusのra*1で使うフィルタのメモ。 IPアドレスが192.168.0.1と5のセッションを表示 - ip host 192.168.0.1 and 192.168.0.5 ポート 22/TCP のセッションを表示（src or dst） - tcp port 22 ポート 25/TCP, 80/TCP、53/UDP、ICMP を除外 - not \( tcp port …

とりあえず検出したと報告されているのは SucKIT なので、ググルとやはり？というか当然？あの方の資料がひっかかる。 Kernel Rootkit http://www.port139.co.jp/cakeoff/030823/T030823.pdf この資料のP23に SucKIT の解説があるのですが、リモートバックド…

コメント欄のお告げに従い racount と ratop ・・・ratop？マニュアルに記述がないなぁ・・・っていうか、 # ratop bash: ratop: そのようなファイルやディレクトリはありません 最新版をダウンロードしてこないと（笑）

ふと気が付くとコメント欄に犬のひとから「-s+lasttime をraに追加しろやゴラァ！」と助言いただいていることに気が付く（ありがとうございます）。 ra ってオプションいっぱいあるんですねとりあえず man 読んでみます。 Manuals: http://www.qosient.com/a…

イッパイデテキタ、ヤッパリフィルタシナイト・・・ Start_Time Duration Flgs Type SrcAddr Sport Dir DstAddr Dport SrcPkt Dstpkt SrcBytes DstBytes State 05-01-01 12:43:28.588474 59.992009 tcp 192.168.0.1.4629 ?> 192.168.0.146.22 456 625 47244 …

詳しい使い方は、3/5 に聞いて勉強するとして、該当時刻に存在したセッションを確認するには ra コマンドを使えばいいのかな？とりあえず、12時43分の通信を表示してみよ。 #ra -r /var/log/argus/argus.out -t 2005/01/01.12:43:00-2005/01/01.12:44:00任意…

/sbin/init の atime は chkrootkit からのアクセスで変更されているけど、一応 MACtimeを確認してみる。 # stat /sbin/init File: "/sbin/init" Size: 33912 Blocks: 72 Regular File Access: (0755/-rwxr-xr-x) Uid: ( 0/ root) Gid: ( 0/ root) Device: 3…

chkrootkit *1のお告げ。 Suckit rootkit... Warning: /sbin/init INFECTED snip chkproc: Warning: Possible LKM Trojan installedさて、どうしたものか？これが本当ならエライこっちゃ。しかもご丁寧に LKM ですかorz とりあえず揮発性情報を保存。LKM roo…

がリリースされたそうです。 スパムのフィルタしないと、フォレンジック方面でも調査の邪魔なんすよね。検索の結果にスパムが引っかかると（送信者を）殴りたくなる。*1 MailShield Server 4.0 日本語版 Beta 紹介ページ http://www.synaptive.com/jp/softwa…

fsutil fsinfo ntfsinfo c: の結果に表示される、MFT Zone の読み方がわからなかったのでフリースペースのある Disk などで確認（笑） Mft Valid Data Length : 0x000000000b154000 Mft Start Lcn : 0x00000000000c0000 Mft2 Start Lcn : 0x0000000000995c65…

出ているのを私信で教えていただくm(_ _)m FTKの試用版がついてるらしいので、試したい方はゲット！？ COMPUTER & NETWORK LAN 2005年3月号 付録共定価2,000円（本体1,905円） 特集 不正行為を調査するデジタル・フォレンジック http://www.ohmsha.co.jp/cnl…

内容は変更していませんが、リンクの設定を行いました。 というのは、私信で最後のページにあるリンクの URL が変ですよ！と教えていただく。*1 実は PDF を作成する際、特に Web リンクは設定していなかったので「へ？」とか思ったのだが、どうやら Acrobat…

第三回まっちゃ139勉強会の発表資料だそうです。ガンガレU20！ 第03回まっちゃ１３９勉強会 発表資料 http://www.funi2.jp/misc/ U-20のセキュリティ意識 http://www.tatsuya.info/pukiwiki/index.php?%A4%BD%A4%CE%C2%BE%A4%CE%A5%C9%A5%AD%A5%E5%A5%E1%A5%…

会場のスペース的に15人が限界？ということで募集人数をちょっと変更させていただく。 基本的にフォレンジック方面向けな内容なので、もし申し込まれる場合には2月の資料など事前に参照してみてからご判断いただいたほうがいいかも。開始直後に普通に「フォ…

昨日のセミナー資料（PDF）を公開。 質問いただいたりした内容を追加・修正してあります。

Winmsd(msinfo32.exe）で[ディスク]の情報を参照すると、ハードディスクのサイズを確認できますが、ここで表示されるサイズと、volume_dump や dd.exe で取得したサイズが異なる場合があります。何故か？というのを以前 Garner 氏に教えていただいたのですが…

kjm先生のところを読んで、海老ダンスMLのアーカイブを更新してないことを思い出す（ぉぃ

なんつーかのタイトルですが、id:xcorp:20050219:1108837974 さんのところを読んで思い出す。スパイウェア検知ツールによっては、WinPcap を検出するんですよね。 個人的にはそれってどうよ？という気がしますが、知らない間に入っていたらやはりアレな気が…

とだけ記録しておこう。

上記資料と合わせて読むべきかな？*1 Bot/Botnetの実体 http://tf.rootkit.jp/work/committee2/ 第20回 NT-Committee2 関東勉強会の資料。 *1:特に後半のrootkitとの組み合わせについては注意が必要ですね

ノートパソコンのハードディスクを暗号化して持ち歩きたい用。 CompuSec http://canon-sol.jp/press/a502_cs.html http://canon-sol.jp/product/cs/index.html ちょっと気になっているのは写真に写っている USB トークンの厚さですかね。これ差すと他のが差…

レジストリに関する基本的なPPT資料を追加。これでプロファイルキーの位置を仕事中に思い出せなくても大丈夫（ぇ？