おつかれさまでしたm(_ _)m

ディスカッションでは、いろいろと興味深い質問が出ていました。 エスケープシーケンスや、Unicode の BOM、改行コードなど注意すべき点はいろいろありますね。 さらに、実際にやってみるとわかりますが文字列を抽出してみると意外に？大量のデータが出力さ…

先入観や勘違いにより文字列を誤認する場合がありますよ〜とか、消失している場合にはいずれにせよわかりませんよ〜というお話。 これも図がないと説明しにくい(^^;;

これも図がないと説明しにくい（笑） Slack スペースや未割り当て領域、削除領域を個別に調べると大変なので、ひとつのファイルにまとめる機能を大抵のコンピュータ・フォレンジック ツールは持ってますよ〜ということで。 不正アクセス調査ガイド―rootkitの…

dd で作成したイメージから文字列を検索・抽出する場合の注意点について図で説明。言葉で説明しにくいので図を使ってます。ということで日記でも書きにくいので省略（笑）

Hacker Defenderの設定ファイルを例に、検索ではなかなか見つけにくい例について説明。 設定ファイルの例(1) [Hidden Table] hxdef* rcmd.exe 普通に Hidden などの文字列が記述されているので、文字列 Hidden を検索すればヒットすると思われます。しかし、…

検索したい文字列が、それぞれの文字コード毎にどういうパーターン（16進数）で記録されているか確認したい場合には、cpconv*1 を使うと便利ですよ〜ということで、cpconv の画面をどーんと貼り付け。 *1:http://www.port139.co.jp/forensics/cpconv/

例えば「葉っぱ」という文字列を検索したい場合、「はっぱ」「ハッパ」「HAPPA」「葉っl£o」「発破」などの表現が考えられ、さらにそれぞれの文字列の文字コードとして Shift_JIS や Unicode、ISO-2022-JP などを考慮する必要がありますね〜というのを図にし…

個人的な定義ですが、文字列の検索方法としてEnCase や FTK(Forensic ToolKit) など商用製品で取られている方法について検索型と抽出型に分けてみました。 【検索型】 文字列を決定→文字コードを決定→検索対象を決定→検索→確認 【抽出型】 検索対象を決定→文…

文字列検索とは少し違うのですが、フォレンジックで日本語文字列が関連する事件の捜査事例ということで、捜査研究(東京法令) No.639 ハイテク犯罪の捜査 第40回ソフトウェアの捜査（採証実践編）のP71 （注10）を引用させていただいたのですが、脚注なのにス…

よく考えるとセキュリティアカデミーが出来てから、講師としてまともに話すのは今回が初めてだったり（笑） 私の担当は「フォレンジックにおける文字列抽出と検索」ということでこんな↓内容でした。*1 *1:９日の日記を１０日に書いてたりします

ということで？、待望の“りーふきっと”改め？「istrings」がリリースされていますね。 istrings 0.1 http://d.hatena.ne.jp/hasegawayosuke/20050709#1120848297 講師お疲れ様でした！！＞Hasegawa Yousukeさん*1 次のバージョン(ISO-2022対応)が待ち遠しい…