2/13 にあった SA 勉強会の資料を塩月さんが公開されています。 アンチ・フォレンジック http://www.st.rim.or.jp/~shio/sa/sa2005_shio.pdf 後半はどっぷり rootkit の話題ですが、カーネルモードの rootkit を検出できる Windows 用のツールとしては Kntli…

Windows 2000/XPで使える RAM ディスクは？という話題がやはり 2/13 に出ていたのでメモしておこう。 RAMDisk XP/2000 http://www.cenatek.com/product_ramdisk.cfm この手のソフトはドライバ入れるので Anti-Forensics 的にはどうか？とも思うけど、RAMディ…

net use コマンドを使い、リモートホストのドライブをマウントした場合、下記レジストリキーに情報が記録される。 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Explorer\MountPoints2 ネットワークドライブを net use \\192.168.0.1\root…

エクスプローラから“ネットワークドライブの割り当て”を使用した場合、下記レジストリキーに履歴が記録される。 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Explorer\Map Network Drive MRU

検索中。USBで繋げるほうが Note PC でも使えて便利かな？っていうかノートで使うことがあるのかは謎だったりするけど。 http://myheadset.jp/content/view/23/51/ これにしようかなぁ・・・

先日のケーキオフで、『net use で繋げた情報はどこかに保存されるか？』という話題がありました。エクスプローラから“ネットワークドライブの割り当て”を使用した場合には、履歴に残っているようですが、コマンドプロンプトから net use コマンドを使用した…

来月にリリースされるらしい、EnCase Ver5 のサイトが公開されているんですね。 http://www.viscoming.com/forensics/index.shtm なんかいろいろと機能が強化されるようですね。値段*1のことが書いてない*2のがある意味すごいな（笑） *1:PLSPライセンス買っ…

日記の編集画面にボタンが増えてる！

これは CRM な制限方法に似てる感じですが、相手がどんなめーらでもオケー*1っていうところが良いですね。 Mail-Lock http://www.proton.co.jp/products/mail-lock/index.html *1:無償の閲覧専用ビューワを使えば

ひさしぶり？のケーキあり（笑）なんつーか、濃い内容でしたね。*1 風邪で倒れたかたが多数いらっしゃいましたがお大事に〜。 *1:特別配布の資料もあったし

コメントいただいたUSBの自動実行（AutoRun)を調べていて発見。 UD-RW http://www.udrw.com/jp/product/ Incident Responce のツールは書き換え不可能領域へ記録して、取得したデータはリムーバルディスク領域に書き込むとかできそうだなぁ。

EnCase に対応してるようで面白そう。 XANALYS Forensic Analyzer http://www.xanalys.com/solutions/forensicanalyzer.html でもきっとすんごい高いんだろうなぁ（笑）

“トロイの木馬”が題材として扱われる映画って、何があるんでしょ？ 最近の映画では「トロイ*1」、古いものでは「オデッセイ*2」がありますね。 268: さまよえる船旅(2) http://homepage.mac.com/dodog3/outsider3_g3.html#ttl-268 ほかにも何かありますかね…

fc と comp コマンドを使ったことがないorz ファイルの内容が同じかどうかを確認する場合、個人的にはハッシュ値（MD5とか）を使うことが多いですハイ(^^;; ただ、MD5 や SHA でハッシュ値を比較し同じか確認する手順だと、どこが違うの？というのは表示され…

これは便利だ。Incident Responce などで自動実行を抑止したい場合にも使えそうですね。 一時的に CD-ROM の自動再生をキャンセルする http://www.microsoft.com/japan/users/tips/windows/037.aspx

SlackSpace.ppt では、FAT/NTFS のことしか念頭において書いてませんが、Linux 方面でも基本的には同じですね。この記事↓はずっと昔、port139ml で話題にされた記憶がありますが、bmap は別のところから持ってこないと（探さないと）入手できないみたいです…

スラック・スペース(Slack space)に関する資料*1を追加。*2RAM Slack って何時のバージョンまでアレだったんだろ？ さて、海老ダンスのアーカイブを更新してと... *1:かなぁ〜り前に、まっちゃさんに突っ込みをいただいた時に作る予定だったものを今頃やって…

「ログ解析」という文字が目に止まったのでメモしておこう。 「ログ解析からはじめる不正アクセス防止対策」 セミナー 〜 NetIQ Security Reporting Center のご紹介 〜 http://www.netiq.co.jp/event/event.htm#seminar_src21

IEが使うindex.datですが、なぜかdd.exeに関連してちょっと調べ中なのでURLをメモ。 Index.dat: Part I - What is index.dat? http://blogs.msdn.com/jeffdav/archive/2004/11/18/266027.aspx Index.dat: Part II - What are they used for? http://blogs.ms…

Diskmon を動かしたら、Write ばっかり表示されてしまう・・・ 1.235000 0.00000954 0 Write 6160447 8 1.250625 0.00001907 0 Write 116976143 8 1.250625 0.00001907 0 Write 6297879 8 1.250625 0.00001907 0 Write 6318775 8 2.891250 0.01252174 0 Writ…

みてる時間がないので、とりあえず URL のメモ。いろいろと興味深い資料が公開されているです。 2005年の予定はまだ出てないみたいですね。 http://www.ceic2005.com/agenda.shtm http://64.60.108.21/2004/combinedagenda.shtm

ということで？フォレンジック方面でも使うので、“netcat (nc)の利用方法*1”のPPT資料を追加。 Incident Responce や Forensics で nc を使う場合、コマンドのオプションは決まりきったものしか使わないのでオマジナイのように覚えてしまえばいいんですけど…

作っておいたほうがよさげなPPT資料として感じたもの。 ・netcatを利用したデータ転送の手順 ・MACtimeの収集と表示方法 ・TSK（sorterコマンド）によるファイルの分類方法 ・TSK（ハッシュデータベース）既知ファイルの除外方法 既存資料へ追記が必要な項目…

公開中のフォレンジック関係PPTファイルのフォントを「MS P ゴシック」へ変更。特に深い理由はないですが、他の資料へ転用する時に面倒だったから（笑） ついでにリンク切れていたりしたのを少し修正、記述内容に特に変化なし。

イイナァ・・・orz

知らなかったのですが、Argus*1ってCygwin環境でも動くみたいですね・・・と書いてからクライアントだけであることに気がつくorz いずれにせよ、3月のセキュリティアカデミー勉強会に向けて再度勉強しておかないと。 *1:http://www.qosient.com/argus/

世の中から無くなりそうな感じだったので、アライドテレシスの10/100シェアードハブを新品で買って置いてあるのですが、こちらのほうがかっこよさげですね。 http://www.netagent.co.jp/fenhub.html

エェ！ソウナノデスカ！？ それって退職したシステム管理者やユーザーがパスワードを売り払っても全然オケー*1ってことですか？帰ったら逐条解説をひっぱりだしてみよっと。 大阪府警本部にて 12:18 http://d.hatena.ne.jp/okumuraosaka/20050202/1107314328…

デジタル・フォレンジック研究会に三つの分科会（技術、法務・制度、経営・監査）ができたそうなので参加させていただこうかなぁ。*1 会員番号がすぐにわからない罠orz どうでもいいんですけど、機種依存文字をどうどうと使うのはちょっと恥ずかしいんぢゃな…

使わない時にはどこにでも転がっているのに、いざ必要になると見あたらない。 結局、購入orz