2005-05-01から1ヶ月間の記事一覧
Autopsyを実行したコンソールに出ていたエラー。日本語ファイル名を選択したときのエラーかな? Wide character in print at /home/ihara/autopsy-2.05/lib//File.pm line 1075. Wide character in print at /home/ihara/autopsy-2.05/lib//Meta.pm line 459…
素晴らしい!! ストライプやスパン、RAID-5 ボリュームが、どこのディスクにどこからどこまでの範囲で配置されているのかが Volume length で簡単に確認できますね。 ダイナミックディスクは LDM でボリュームが管理されてますから、この手の情報を取得でき…
いずれも Windows Server 2003 SP1 上の NTFS ボリューム、マウントポイントは無し。 スパンボリュームの結果 ボリューム名: \\?\Volume{0d6a0ed6-2aeb-4435-b87f-c474ec5d5b22} 説明: Span Volume Mount Points: Drive Type: Fixed ボリューム シリアル番号…
Virtual PC の仮想マシンを VMware の仮想マシンへインポートするためのツールがあるんですね。 VMware Virtual Machine Importer http://www.vmware.com/download/vmimporter.html 逆を手動でやったことありますが、このツールを使えば簡単そうですね。今度…
Windows バージョンがダウンロード可能になっているではないですか!! Foremost 1.0 (Beta) 5/5/05 http://foremost.sourceforge.net/ 基本的な使い方はWindows版の foremost でも同じみたいですね。 C:\temp>foremost.exe -h foremost.exe version 1.0 by …
FAT32 File System Specification の「Storage of a Long-Name Within Long Directory Entries」P28 に詳しく構造が書かれていますが、Unicode で保存されるファイル名(13文字)は5・6・2と分けて記録されてるんですね、へぇ〜。
File System Forensic Analysisの P251 を参照しつつ URL をメモ。 FAT32 File System Specification http://www.microsoft.com/whdc/system/platform/firmware/fatgen.mspx Long Filename Specification http://sta.c64.org/docs.html
6月には軽井沢で第3回セキュそば勉強会があるので、蕎麦食べたてプレゼンしたい人は集合っすかね。 第3回セキュそば勉強会 http://d.hatena.ne.jp/Miem/20050625 U20 な人の技術ネタプレゼンにも期待大ということで;-) 時間的にはまだかなりあるわけで、か…
はまもとさんが“connect24h的コミュニティ論”というのを書かれています。昨年からってことでもないですが、情報セキュリティ方面でもいろいろなコミュニティが立ち上がってますのでご近所な方は参加されてみてはいかがでしょうか? connect24h的コミュニティ…
設定ファイル(foremost.conf)で、エクステンションを指定せずにリカバリする場合のタグみたいですね。サンプルでは文字列「FOREMOST」を見つけたらそこから 1000 byte リカバリするようなものになってますね。 NONE y 1000 FOREMOST ということで試してみる…
試しに Diskeeper でデフラグをかけてから*1イメージを作成し foremost を実行してみる。 Num Name (bs=512) Size File Offset Comment 0: 1931.jpg 60 KB 988697 1: 3761.jpg 27 KB 1925657 2: 2196.doc 129 KB 1124352 3: 3760.ppt 66 KB 1925120 usb6.dd:…
リカバリされたファイルは、エクステンション(例:jpg や doc )毎に output 配下にフォルダが作成され出力されます。ビルトインと設定ファイルの両方で同一のエクステンションを有効にした場合、同一のブロックを検出する場合がありますが、後から検出され…
OLE オブジェクトとして JPEG を埋め込んでいる場合、foremost のビルトインでリカバリすると手元では結構落としますね〜。テスト用イメージなのでフラグメントが酷いとかいう状況ではないんだけどなぁorz
foremost のビルトイン(-t オプション)で ole を指定した場合、OLE 構造を持つファイルを解析するみたいですね。ただ、OLE 構造のパターンに何を使っているのかよくわかっていなかったり... man によると、-t doc を指定するより、-t ole を指定したほうが…
IETrace http://ietrace.jumpersoftware.com/index.htm Data Hiding on NT/2K http://www.blackhat.com/presentations/win-usa-04/bh-win-04-carvey.ppt Embed and Executable in an excel doc http://nakedcrew.net/tutorials/embed.php
これもURLをとりあえずメモ。 LAOLA file system "Structured Storage" The binary structure of Ole / Compound Documents http://user.cs.tu-berlin.de/~schwartz/pmh/guide.html
とりあえず URL をメモ。 Vogon OLE viewer (VOLE) http://www.vogon-international.com/vision-15/forensic-software.htm
