例えば、ipconfig /displaydns でキャッシュされている名前を調べることで、偽アドレスを掴まされていないか？などを確認できる気がしますが、もう一歩進めると「アドレスは解決されているけど、本当にそこに接続したの？何時からどんなデータをやりとりした…

例えば先ほどの ipconfig /displaydns で表示されるデータがキャッシュに残っている時間は、サポート技術情報 245437 によると、Windows XP 以降では(肯定応答の場合は) 86,400 秒 (1 日)となっているようです。*1 他にも arp -a で取得できる ARP キャッシ…

相変わらず整理できてないのでメモ代わりに。まとまってなくてすいません。 kjm 先生のところで『いまどきだと、まず ipconfig /displaydns を取っておきたいかも。』と書かれていたのを読んで、ここ数日どんなコマンドを選択すると良いのかについていろいろ…

ARP キャッシュ http://www.microsoft.com/windows2000/ja/advanced/help/sag_tcpip_und_arp.htm

Windows でクライアント側の DNS キャッシュを無効にする方法 http://support.microsoft.com/default.aspx?scid=kb;ja;245437 Windows XP および Windows Server 2003 でクライアント側の DNS キャッシュを無効にする方法 http://support.microsoft.com/defa…

orz

今年もこれとこれの講師を担当させていただくんですが、他にもいろいろと面白い講座がありますねぇ。 ネットワークセキュリティの現状と管理技法 http://www.apc.ehdo.go.jp/seminar/2005/ichiran/syousai/05semi21304.html 文字コード系の仕組み http://www…

噂の？りーふきっとですが、そーやって使うものになるんですか？（爆笑） http://d.hatena.ne.jp/ripjyr/20050411#1113176512 シールになったりしないのかなぁ（笑）

まず最初に何に困ったって、KD からの抜け方が分からなかったorz とりあえず、昨日発見したPPT*1を参照しながら、完全メモリダンプを作成してみる。 なるほど、システムを稼働させたままダンプができるんですな。問題はこれをどう調査するかなんですが、ダン…

Sysinternals から落としてきたのですが、これを使うには Debugging Tools for Windows を事前にインストールしておく必要があるんですかね？さくっとインストール。

Forensic Acquisition Utilities に含まれるdd.exeは物理メモリのダンプが可能です。 dd if=\\.\PhysicalMemory of=d:\memory.dmp --localwrt実行結果はこんな↓感じ。 Total physical memory reported: 1073197056 bytes Copying physical memory... Physica…

知らなかったorz マイクロソフトサポート技術情報「Windows XP で最適化と回復のためにページ ファイルを構成する方法」より引用ここから Windows は、頻繁にアクセスされるブート パーティション上のページ ファイルより、頻繁にアクセスされないパーティシ…

制限があるみたいですね。 2 GB 以上の RAM が搭載されたコンピュータでは完全メモリ ダンプを使用できない http://support.microsoft.com/default.aspx?scid=kb;ja;274598

昨日よく確認せずに「確か ProDiscover Incident Response が対応してたような〜」とほざいていましたが、一応間違ってなかった様子。 Live Memory Forensics Added to ProDiscover Incident Response http://www.techpathways.com/uploads/MemoryImaging-PR…

昨日でていたメモリダンプ関連の話題ってこの辺りのお話なのかな？＞スライド20 rootkit の検知方法などとても興味深い＆面白い資料っすね〜 Rootkits Detection on Windows Systems http://www.invisiblethings.org/papers.html http://www.invisiblethings…

メモリダンプを Google で検索していたハズなのになぜかこの本を発見。 Investigator's Guide to Steganography(ASIN:0849324335) 内容にはとても興味あるのですが、ちょっと高いなぁ・・・

ビクロにやられたorz 昨日の勉強会で、Windows のメモリダンプについてお話がでていたのでちょっと調べてみようと思ったが、何を調べないといけないのかを忘れている今日この頃orz

新大阪の駅に向かう途中でザル蕎麦大盛りと蕎麦湯。いやぁ満足満足。

ということで？、昨日の勉強会へ参加された皆様お疲れ様でした。 帰りの新幹線では噂の「リーフキット」についてid:sonodamさんと（勝手に）盛り上がってました（笑）

私は VMware を主に使っていますが、ディスカッションの時に別の名前（ぼっくす？）がでていたのですが失念（ぉぃ デバッグツール？を組み合わせることで、（複製したシステムに対して）より強力な調査を行うことも可能になるというお話がでていました。

今回、VMware にインストールした Windows Server 2003 を、Virtual PC 2004 へ複製して起動させるということをテストしていたのですが、VMware P2V Assistant 2 とかを使うと、物理コンピュータを仮想OS環境へ簡単に複製できちゃったりするんですかね？

稼働中のシステムをなるべく触らずに調査したいので、稼働中システムを丸ごと仮想 OS 環境へと複製し、そっちをゴリゴリ調べましょう！というのが昨日の小ネタ。 稼働中システムのハードディスクをオンラインで複製（ddとかでコピー）し、それをVMwareの起動…

PPT に書いてもアレなので、こっちに「参照URL」を貼り付けておこう。 修復セットアップ完全マスター http://www.atmarkit.co.jp/fwin2k/operation/em_repair/em_repair02.html [HOWTO] 起動しなくなった Windows Server 2003 ベースのコンピュータで回復コ…

インシデントが発生したシステムが重要になればなるほど、（運用上）電源断は難しくなるでしょうし、迅速な復旧を望まれると思います。「犯罪捜査 vs 企業活動」という点では、犯罪捜査に必要となる電源断が、実際に受けた被害額より多いとなると困りますや…

netstat -na でも netstat -an でも得られる結果は同じですが、インシデントに対応した人によって netstat を打ったり、打たなかったりという状況になると、取得した情報を整理・調査するのが大変そうですやね。*1 人によってはトラップに見事にひっかかった…

代表的なものとしては「メモリ」の内容ですかね。取得して解析できるのか？という話題はあるわけですが、でかいバイナリファイルを調査するのと基本的に同じなので、リーフキットとかを使えばいろいろ手がかりが得られるかもしれません。 ただ、メモリ全体を…

時間の経過と共に失われたり、電源断により消えてしまう情報を揮発性情報*1と呼んでいます。インシデント発生時にどのような揮発性情報を取得しておくとよいか？という点ですが、個人的にはログに残ってない情報を優先して取得すべきだと考えています。 逆に…

今回のセキュリティアカデミー勉強会のテーマは、「Live Response」ということでインシデントが発生した時に、稼働中システムからどのような揮発性情報を取得するとよいか？、注意点は何か？ということを中心にディスカッションなどが行われました。 まだま…

修復の神（山近さん）に質問していろいろと教わる。多謝m(_ _)m