どうも動きがアレなので、0.69 でテストしてみる。 foremost.conf は↑の NEXT 付きな doc エクステンションを有効にした状態。 Foremost version 0.69 audit file Started at Sat Apr 30 00:45:41 2005 Command line: ./foremost -v -c foremost.conf usb3.d…

OLE2形式のデータファイルからデータを取り出すツール。とりあえず URL をメモ。 ripOLE http://www.pldaniels.com/ripole/ 現在のところ、MS Office ファイルに対応。

Foremost 0.69 から追加された設定ファイル用のオプション。 現在のところ NEXT オプションが指定されているのは Word documents の項目だけです。 foremost.conf の Word ドキュメントの定義を引用 doc y 12500000 \xd0\xcf\x11\xe0\xa1\xb1\x1a\xe1\x00\x0…

ビルトインや foremost.conf にヘッダ/フッタの定義が無い場合、自分で書かないといけないんですが、ファイル（形式）に共通しているヘッダ/フッタを簡単に見つける方法ってどんなのがあるんでしょうね〜やっぱり目視？（笑） MS Office のファイル形式のよ…

ビルトインのパターン指定ということで以下が形式をリカバリ対象として指定が可能。何も指定しない場合には all 指定となり、下記ファイル形式の全てでリカバリが試みられる。 -tオプションを指定しなかった場合、設定ファイル（foremost.conf）が読み込まれ…

全部取り出せモードかな（笑） ヘッダで指定されたパターンが発見されたら、フッタ*1が検知されるか、設定されているサイズの範囲がリカバリされます。不用意に実行すると output に出力されるファイル数とサイズがすごいことになりますね。 同じイメージフ…

このオプションを指定した場合には、間接ブロック(indirect block)の検出を行うようになるのかな？とりあえず関連URLをメモ。 第2回 ブロックアルゴリズムとB-Treeアルゴリズム http://www.atmarkit.co.jp/flinux/rensai/fs02/fs02b.html Linux Ext2fs Undel…

国内では ITmedia の記事に名前が出てきますが、Sysadmin の記事に使い方とか載ってます。 The Foremost Open Source Forensic Tool http://www.samag.com/documents/s=8859/sam0309a/sam0309a.htm この記事で紹介されている、ファイルフォーマットを使って…

気がついたら 1.0 (Beta) が出ていたのでメモ。 私が最初にこのツールを知ったのは、port139ml で DANNA さんが紹介された時だったと思うのですが、アーカイブで該当記事を発見できず（笑） dd などで作成したディスクイメージからヘッダとフッタのパターン…

Windows Server 2003 SP1 の追加機能として、セキュリティの構成ウイザード（SCW)があります。SCW の「管理オプションとその他のオプションの選択」で“Windows ファイアウォール”のチェックを外した場合、その後の「指定されていないサービスの処理」という…

Windows Server SP1 で改良された点として、起動時に Windows FireWall が有効になる「起動時フィルタ」があります。従来の ICF ではサービスが起動するまでフィルタが有効にならず、システムの起動時・シャットダウン時の非常に短い時間ですがフィルタが“無…

インストールに使ったブートディスク、とりあえずURLだけメモしておこう。 Boot Disks IDE CDrom Drivers Included http://www.bootdisk.com/bootdisk.htm VFAT のイメージが作りたかったのですが、Win98 って FAT16,FAT32 なのねorz

Windows Server 2003 SP1 と WinPcap 3.1 beta 4 の組み合わせも確認してみました。WinPcap → IPsec → ICF という感じですので、WinPcap を使えばパケットを確認することができますが、できれば IPsec の機能としてログ取りオプションを入れて欲しいですね。

上で「いかがでしょうか？」と書いておきながら、その方法はダメだったことを確認orz Windows Server 2003 SP1 の状態で確認してみましたが、monyolog がパケットを取得するのは、IPsec → ICF → monyolog という順番になるようですね。 IPsec で拒否（ブロッ…

IPsec 繋がり？やまけんさんのところでちょうど IPsec 方面が紹介されていたので。 Windows で IPsec を使う場合、暗号化通信とかトンネル以外にもパケット フィルタとして利用することもできますが、拒否パケットのログとか取れない辺りが難点でしょうか。 …

Software Design の 5月号を新宿ヨドバシで買ってきました。特集は『絶対わかる！ＶＰＮ完全攻略バイブル』ですが、題名でどなた*1が執筆されているかわかるという噂あり。 恐らく、5/28 のセキュリティアカデミー勉強会では、この辺りのお話も絡むのではな…

昨日から公開されていますが、今月の MVP 紹介で私ものっけていただきました。 「私が日本の MVP 〜コミュニティの達人〜」 http://www.microsoft.com/japan/communities/mvp/iammvp.mspx チャレンジ/レスポンスに掛けてみたわけではありません（誰も聞いて…

昨日の日記に書いた SAMR の制限に関する件を調べていたのですが、Google で検索してみると「9.2.2 SAMRおよびLSARPCインタフェイスによるユーザ詳細情報の収集」という記述がある書籍を発見。 実践ネットワークセキュリティ監査 http://www.kosho.org/books…

The Sleuth kit と Autopsy の組み合わせで NTFS 上のファイル名を UTF-8 で表示するためのパッチをチームチドリさんのところで提供されています。NTFS の日本語ファイル名はそのままでは化けるんですが、これで見れるようになるハズ！！*1 http://www.t-dor…

次回は「不正アクセス調査技法」コースが 5月にあるんですが、アンチ・フォレンジックなかたがいるらしいので、こちらもいろいろとネタを詰め込もうかと思案中（ぇ？ っていうかマイク廻しちゃおう（笑）

システム領域は 4G もあれば十分だろ〜みたいな感じで、Windows Server 2003 の C ドライブは 4G でセットアップしていただいてたのですが、SP1 をそこにコピーしてインストールしようとすると空き容量が足りないと怒られましたorz 事前に資料を確認してはい…

「セキュアサーバ構築技法」ということで、今日明日と講師です。 対角線上の教室で id:sonodam さんが講師されているのを見ながら（笑） 今回から Windows Server 2003 も実機で扱うようになったのですが、見習ってもっと詰め込むべきかなぁとか思案中だった…

Windows Server 2003 SP1 の変更点のひとつに、SAM のセキュリティチェック強化があります。これまた試してないのですが説明文を読む感じだと PWdump とか LSAdump が制限を受けるんでしょうかね、普通の人はこれでそんなに困ることは無いと思いますが・・・…

User Mode Process Dump とかあった Support Tools for Microsoft Operating Systems *1 ですが、SP1 のリリースに関連してなのか『本サポートツールのダウンロード提供は終了いたしました。』ということになっていますね。 http://www.microsoft.com/japan/…

Windows Server 2003 SP1 日本語版がリリースされていますが、SP1 で変更された点のひとつに \\PhysicalMemory へのアクセス制限があります。 Microsoft Windows Server 2003 Service Pack 1 での機能の変更点*1 Device\PhysicalMemory オブジェクト、より引…

フォントがどのコードページをサポートしているのか、プロパティから確認できるようになるツール。 Font properties extension http://www.microsoft.com/typography/TrueTypeProperty21.mspx 例えば自分が使っているツールで設定したフォントが、日本語（CP…

Unicode フォントについてちょっと調べていたので関連URLをメモ。 Office XP リソース キット / 国際環境での導入計画 / 国際環境のためのコンピュータの準備 フォントの管理 http://www.microsoft.com/japan/office/ork/three/inte03.asp [WD2002] Arial Un…

最近、妙に rootkit の話題を見かける気がしますが、キャッシュ情報を隠蔽or改ざんするrootkitってあるんですかね？netstat の結果から特定レコードを消すといった機能は見かけますが... キャッシュは時間が経てば消えるし、消そうと思えば(OS標準コマンドで…

ARP,NBT,DNS キャッシュ情報を復旧に利用できるかなぁ〜と考えてみたのですが、具体的な例が思いつきませんでした。 通信履歴と組み合わせて被害範囲の推測に使えるかな？という気もしますが、それは通信履歴とハードディスク イメージでオケーそうな気もし…