yoggy さんのところで触れられていますが、ステガノ画像も検知するの大変なんですよね。ステガノ検出の専用ツールとしては『Stego Suite』がありますが、個人的には作成するツールを検出する『Gargoyle Investigator』的な手法が簡単なのではないかと感じて…

5月28日に開催されたセキュリティアカデミー勉強会『Covert Channel 〜 偽装通信とその見破り方へのアプローチ』の資料が公開されています。 2005年5月28日のセキュリティアカデミーで使った資料ですー http://d.hatena.ne.jp/wakatono/20050530#p3 参考資料…

『CHS の値はハードディスク上のどこか（のセクタ）に書いてあるのか？』をハード・ディスク装置の構造と応用―記録・再生の原理とメカニズム&インターフェース (C&E基礎解説シリーズ)などを読みながら調べているのですが、よくわからない。 MBR のパーティシ…

私信で教えていただきましたので追記。ありがとうございますm(_ _)m http://nobumasa-web.hp.infoseek.co.jp/partition/partition.html http://www.atmarkit.co.jp/fwin2k/win2ktips/365diskpart/diskpart.html http://www.netjapan.co.jp/FAQ/others/mbr1.h…

例えば Windows 標準の IPsec 機能を利用している場合には、IPsec を使っているアプリケーションを簡単に特定する方法があると便利そうですね。 例えば１対１*1で IPsec を利用している通信があるとして、その通信経路をどのアプリケーションが使っているの…

宴会の会場へ向かう道中、seculoggerさんが考えられていた手法は興味深いものがありました。きっとご本人からネタ披露があると思うので期待してま〜す（笑）

単に UPX で圧縮されるだけで文字列抽出や検索が影響を受けますが、メモリ上のデータやスワップされたデータに対して文字列抽出を行ってみるのも面白そうですね。 いずれにせよ、既知ファイルでないものは抽出が簡単ですから、ファイルの中身が可読不可能で…

使い方を説明する文書（ヘルプ）がプログラムに含まれているケースでは、strings や“りーふきっと”を使用することで、それらのツールが発見できたりする場合もありそうですね。（国産品でヘルプが日本語だったりする場合には“りーふきっと”がないと辛そうで…

参加された皆様おつかれさましでした。m(_ _)m 反省しきりの講師でしたが、次回の糧にさせていただく方向で(^^; 完全に燃え尽きたので今日は倒れます。明日起きれるかなぁ・・・

プリンタの特定（レジストリ？） プリンタドライバの特定 スプールされ止まっているデータの再印刷

プリンタの印刷（スプール）データの形式として RAW と EMF がありますが、RAW 形式で作成されたデータというのは、プリンタドライバにより作成されたプリンタが解釈するデータ形式ということで、簡単にその内容を確認することは難しいみたいですね。

残念ながら私は参加できていないのですが「2005/05/14HDD研究会」の資料が公開されています。（図でとてもわかりやすくまとめられています、今度参考にさせていただこうっと;-) どるふぃん先生の授業 サルベージ&フォレンジック http://openmya.hacker.jp/da…

日本ではニュアンス（っていうか根本的な意味）が違って広がってるよね〜という話はよく聞くのですが、あまりにひどい*1ので参考URLを再掲。 コンピュータ・フォレンジック http://www.cyberpolice.go.jp/column/explanation03.html デジタル・フォレンジッ…

Windows Server 2003 SP1 のセキュリティ構成ウイザード（SCW）で、ロールバックが中止されるケースに遭遇したのですが、結局原因がわからず。 メッセージ（ログ）によると、ipnat.sys を使っている可能性があるので、Windows FireWall が呼び出せないよ〜ん…

URLscan関係ということでURLメモ。 TechNet Webcast: UrlScan 2.5 and IIS 6.0—Level 200 http://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?EventID=1032259373&EventCategory=3&culture=en-US&CountryCode=US

Windows Server 2003 SP1 の環境へ URLscan 2.5 をインストールした場合、ISAPI フィルタとしては登録されますが、優先度が「不明」となり IIS を開始してもロードしてくれないようです。*1 「URLScan セキュリティ ツール」など一通り関連するドキュメント…

忘れないうちにメモしておこう。 Windows Server 2003 ＋SP1&IIS 6.0 の環境でのお話。ファイルシステムはもちろんNTFS Windows\System32\Logfiles\W3SVC1 フォルダのアクセス権を以下のように設定した。 所有者：Administrator Administrators：読み取り実…

なにげに www.rootkit.com を見たら、題名がずばり「ROOTKITS」なる書籍が7月に出る予定なのですね。 さっそく予約！！これもぜひお願いします＞sonodamさん（とかいう）

個人的にはこんな感じ。 侵害されているかまだ全然わからないけど調査するとき->不正アクセス調査 侵害されているとわかった時の対応->インシデントレスポンス インシデントレスポンスで取得した証拠の解析->コンピュータ・フォレンジック システムを停止す…

「hogehoge\Logfiles」を IIS のログ出力先として設定した場合、このフォルダ配下に W3SVCx フォルダが作成されますが、このときアクセス権は自動的に Administrators と LocalSystem にフルコントロール、所有者が Administrators で設定。

「Windows\System32\Logfiles\W3SVC1」フォルダに、ログ管理用アカウントと、LocalSystem にフルコントロールのアクセス権を与えた場合でも、フォルダの所有者が Administrators でなければログファイルの作成に失敗するようですね。 うーん、どうしたものか…

ローカル Administrators グループには LocalSystem が含まれるので、所有者を Administrators 以外に設定するとログが書けなくなりますね。

ためしに「Windows\System32\Logfiles\W3SVC1」のアクセス権をログ管理用のアカウントのみフルコントロールを設定。Administrators と System の権限は削除した状態で IIS へアクセスしてもログファイルはちゃんと作成されます。 デフォルトではフォルダの所…

IIS 6.0 のログファイルは規定では Windows\System32\Logfiles ですが、これを移動させた場合に設定すべきフォルダのアクセス権についてのメモ。 『インターネット インフォメーション サービス 6.0 をセキュリティ保護する』より引用 IIS ログ ファイルに A…

参加者募集が開始されたそうです。というか参加条件に一致する年齢のひとがこのページを見ているのか疑問だったりはしますが(^^;; ◇◆◇ セキュリティキャンプ2005 開催のお知らせ ◇◆◇若年層の情報セキュリティ意識の向上と優れたセキュリティ人材の発掘と育成…

フォレンジック用のタイムラインエディタ。まだアルファですが、JAVA ベースの GUI アプリケーションです。（そこそこ安定してます） 現在のところ、The Sleuth Kit の fls,ils コマンドの出力結果をインポートし時間をベースにイベントを解析することができ…

今日から二日間「不正アクセス調査技法」の講師です。 恐らく今日の午後からは dd&nc と The SleuthKit に突入しているのではないかと思いますが、今回は新たなツールとしてタイムラインエディタ（Zeitline）のスライドを資料を追加しています。

時間があるときに見てみようかな？ サイバー犯罪事件簿 「姿なき侵入者」 財団法人警察協会制作 http://www.police-ch.jp/video/h_11.html