ということで？ネットエージェントでは、8月から毎月フォレンジックに関連した『調査技術ゼミ』(有料：三千円)というものを開催します。 http://www.netagent.co.jp/press20050720.txt 第一回 ネットエージェント【調査技術ゼミ】開催のお知らせ http://fore…

Foundstone が 7/25 に Remote Forensics Systemというものを出すようですね。7/25からダウンロード可能になるようですので忘れないようにメモ。*1 http://www.foundstone.com/index.htm?subnav=resources/navigation.htm&subcontent=/resources/freetools.h…

istrings のバージョン 0.2 が公開されたそうです。おつかれさまです！！＞作者なかた http://openmya.hacker.jp/hasegawa/ 合わせて、7月9日に開催されたセキュリティアカデミー勉強会のPPT資料も公開されています。とりあえず istrings かけてみるのがマナ…

さすが、り〜ふ KIT というくらいで、周辺がどんどん拡張？されていってますね！！ OpenMya?なひとたちが勝手に作ったistrings周辺ファイル群 http://openmya.hacker.jp/hiki/hiki.cgi?cmd=view&p=istrings%A4%CB%A4%DF%A4%F3%A4%CA%A4%C7%BF%A7%A1%B9%A4%AF…

セミナーの話題で思い出したのですが、8月9日にネットエージェント主催の(無料)セミナーが開催されます。技術的な内容バリバリということではなく、フォレンジック調査ではこいうことが可能ですよ〜などの入門的なお話になると思います。 日時 2005 年8 月9 …

おつかれさまでしたm(_ _)m

ディスカッションでは、いろいろと興味深い質問が出ていました。 エスケープシーケンスや、Unicode の BOM、改行コードなど注意すべき点はいろいろありますね。 さらに、実際にやってみるとわかりますが文字列を抽出してみると意外に？大量のデータが出力さ…

先入観や勘違いにより文字列を誤認する場合がありますよ〜とか、消失している場合にはいずれにせよわかりませんよ〜というお話。 これも図がないと説明しにくい(^^;;

これも図がないと説明しにくい（笑） Slack スペースや未割り当て領域、削除領域を個別に調べると大変なので、ひとつのファイルにまとめる機能を大抵のコンピュータ・フォレンジック ツールは持ってますよ〜ということで。 不正アクセス調査ガイド―rootkitの…

dd で作成したイメージから文字列を検索・抽出する場合の注意点について図で説明。言葉で説明しにくいので図を使ってます。ということで日記でも書きにくいので省略（笑）

Hacker Defenderの設定ファイルを例に、検索ではなかなか見つけにくい例について説明。 設定ファイルの例(1) [Hidden Table] hxdef* rcmd.exe 普通に Hidden などの文字列が記述されているので、文字列 Hidden を検索すればヒットすると思われます。しかし、…

検索したい文字列が、それぞれの文字コード毎にどういうパーターン（16進数）で記録されているか確認したい場合には、cpconv*1 を使うと便利ですよ〜ということで、cpconv の画面をどーんと貼り付け。 *1:http://www.port139.co.jp/forensics/cpconv/

例えば「葉っぱ」という文字列を検索したい場合、「はっぱ」「ハッパ」「HAPPA」「葉っl£o」「発破」などの表現が考えられ、さらにそれぞれの文字列の文字コードとして Shift_JIS や Unicode、ISO-2022-JP などを考慮する必要がありますね〜というのを図にし…

個人的な定義ですが、文字列の検索方法としてEnCase や FTK(Forensic ToolKit) など商用製品で取られている方法について検索型と抽出型に分けてみました。 【検索型】 文字列を決定→文字コードを決定→検索対象を決定→検索→確認 【抽出型】 検索対象を決定→文…

文字列検索とは少し違うのですが、フォレンジックで日本語文字列が関連する事件の捜査事例ということで、捜査研究(東京法令) No.639 ハイテク犯罪の捜査 第40回ソフトウェアの捜査（採証実践編）のP71 （注10）を引用させていただいたのですが、脚注なのにス…

よく考えるとセキュリティアカデミーが出来てから、講師としてまともに話すのは今回が初めてだったり（笑） 私の担当は「フォレンジックにおける文字列抽出と検索」ということでこんな↓内容でした。*1 *1:９日の日記を１０日に書いてたりします

ということで？、待望の“りーふきっと”改め？「istrings」がリリースされていますね。 istrings 0.1 http://d.hatena.ne.jp/hasegawayosuke/20050709#1120848297 講師お疲れ様でした！！＞Hasegawa Yousukeさん*1 次のバージョン(ISO-2022対応)が待ち遠しい…