2005-09-01から1ヶ月間の記事一覧
の参加者も募集中!ということで遅まきながら。 第4回セキュそば勉強会のお知らせ http://d.hatena.ne.jp/miyay3/20051105 テーマ1が「Anti-forensics」って餌に釣られますね(笑) ここ最近、日本語関係?の Anti-forensics な話題が多いのですが、BlackHat…
10月09日開催予定の勉強会の参加者募集が開始されました。 【テーマ】 『 あなた(ハニポ)と過ごした3年間 』 日時 2005 年 10 月 09 日 (日曜日) 会場 大田区産業プラザ 6F C会議室 http://www.pio.or.jp/ 時間 13:00〜16:30(12時30分より受け付け開始) 定…
Windows のコードページについて解説しているマイクロソフトの文書を探しているのですが、リソースキットとか読んだほうが早いんでしょうかね。 とりあえずサポート技術情報で見つけた文字コード関係で気になるURLのメモ。 コードページ サポート セットアッ…
16進数で echo を使いたかったので探したらあるもんですね〜。 http://hp.vector.co.jp/authors/VA015622/ssecho.htm これでなんとかなる気がしてきた...
出張続きで不在だったのですが、久しぶりに出勤したら「Linux ソフトウェアアンテナ」が机の上に置かれていました!! 先月のネットエージェント調査技術ゼミで参考にさせていただいたのですが、宮本さんが Linux 方面でも暗号化ファイルシステムに関して寄…
EnCase Intermediate Analysis and Reporting(中級コース)が、12月5日〜9日にかけて日本で開催されます。EnCase の使い方をハンズオン形式で学ぶコンピュータ・フォレンジックな専門コースです。 第二回EnCaseトレーニング開催 http://www.encase.jp/educa…
すでに数名のかたにハッケソされてしまってますが、「国内のフォレンジック」というテーマでお話させていただきます。 http://www.blackhat.com/html/bh-japan-05/bh-jp-05-jp-speakers.html 恐らく、与えられたテーマ的には国内市場などを踏まえたお話をす…
2005年10月21日(金)に開催予定の、ネットエージェント 調査技術ゼミ(第三回)の参加者募集が開始されています。 第三回 ネットエージェント【調査技術ゼミ】開催のお知らせ http://forensic.netagent.co.jp/announce/20051021.txt 今回のテーマは『文字コ…
タイムスタンプの変化を確認するため、以下の手順を実行した後にそれぞれの属性値が持つタイムスタンプを確認してみたところ。 C:\temp>echo mtime >> test1.txt $STANDARD_INFORMATION 09/11/05 10:52:26 (作成日時) 09/11/05 11:04:56 (更新日時:mtime…
タイムスタンプの変化を確認するため、以下の手順を実行した後にそれぞれの属性値が持つタイムスタンプを確認してみたところ。 C:\temp>echo test > test1.txtC:\temp>fsutil hardlink create test2.txt test1.txt C:\temp\test2.txt > C:\temp\test1.txt の…
$FILE_NAME も4つのタイムスタンプ(4つ)を持っていますが、ハードリンクを作成した時には以下のような動きをするようです。 1.fsutil hardlink create c.txt a.txt を実行する 2.$STANDARD_INFORMATION に保存されていたタイムスタンプが、c.txt の $FILE…
ハードリンクで作成されたファイルの属性値($STANDARD_INFORMATION や $FILE_NAME)がどう処理されているのかをちょっと確認。 Attribute - $STANDARD_INFORMATION (0x10) http://linux-ntfs.sourceforge.net/ntfs/attributes/standard_information.html At…
NTFS のハードリンクと代替データストリームを組み合わせるという、さすがなテストについてはこちら↓参照ということで。 NTFS の ADS にはハードリンク経由ではアクセスできない? http://d.hatena.ne.jp/hasegawayosuke/20050906#1125995216 ということで?…
MFTエントリが同じなので当然といえば当然の結果なのかもしれませんが、なかなか面白いですね。 F:\>echo stream > a.txt:h.txtF:\>more f:\b.txt:h.txt stream この時の MFT エントリ 36-128-6 の情報は下記になります。代替データストリームは $DATA (128-…
もう少し詳しく調べてみる必要がありますが・・・ ハードリンクを作成した場合でも、新たに MFT エントリが作成されるということではなく、リンク元となったファイルの MFT レコードに新しいファイル名(リンク)が追加されるということのようですね。($FIL…
プログラマから見た NTFS 2000 Part1: ストリームとハード リンク(http://www.microsoft.com/japan/msdn/windows/windows2000/ntfs5.asp#ntfs5_topic6 )より引用ここから 『ハード リンクは、同じ NTFS ボリューム内で作成しなければならないので注意が必…
MFTレコードの内容を確認 Pointed to by file: F://note.exe F://NOTEPAD.EXE F:/test/noteB.txt File Type: MS-DOS executable (EXE), OS/2 or MS Windows MD5 of content: 518cfcf8e0c7b133d365ddaa22916052 SHA-1 of content: 8aa33633f4abcd071782a5ce50…
MFTレコードの内容を確認 Pointed to by file: F://b.txt F://a.txt F:/test/c.txt File Type: ASCII text, with CRLF line terminators MD5 of content: a55ab7512f0d0ff4527d898d06afd5c5 SHA-1 of content: b1b0f3993c24e223152a9a41242cdd6757754a86 Det…
Autopsy 2.05でddイメージを確認 r / r a.txt 2005.09.10 22:12:37 (JST) 2005.09.10 22:12:37 (JST) 2005.09.10 22:35:03 (JST) 7 0 0 36-128-3 r / r b.txt 2005.09.10 22:12:37 (JST) 2005.09.10 22:12:37 (JST) 2005.09.10 22:35:03 (JST) 7 0 0 36-128-…
VMware 上の Windows XP SP2 環境に、NTFS ハードリンクのテスト用にサイズ 100M の仮想ハードディスクを追加。NTFS でフォーマットし、以下の二つのファイルを作成。 echo test > a.txt copy c:\windows\notepad.exe notepad.exe 最初に作成した a.txt はサ…
ある日、突然やってきたシステム管理者に「君の暗号化ボリュームをいまから複製するからね」とか言われると、何も悪いことをしてなかったとしても良い気分はしませんよね。 できればそういった PC の利用者や社内の雰囲気、誤解による二次被害といったことへ…
暗号化されたファイルを復号化し、暗号化されている状態のファイルと平文の状態とでコンペアをとったり、ハッシュ値を計算すると当然値が一致しませんよね〜というお話です。これは一致しないのが通常ですから、どれを復号化して平文のデータとしたのかを記…
Windows でのお話になりますが、あるユーザーが暗号化ファイルを F: ドライブとしてマウントしている場合に、RunAS などを使い別のユーザーで起動した CMD.EXE から F: ドライブへのアクセスが可能か?というお話です。*1 最も確実な方法は、暗号化ファイル…
暗号化ファイルを、論理ドライブ*1やフォルダにマウントして利用するタイプへの対応です。 Windows 上で論理ドライブとして暗号化ファイルがマウントされている場合には、何も考えずにそのまま dd if=\\.\ドライブ文字: などと指定すればドライブイメージの…
暗号化された状態でハードディスクを複製し、dd イメージで保存したとします。(ddイメージは暗号化されたデータが記録されている) この dd イメージに対してリカバリ処理を実行する方法としては、いったん物理的なハードディスクへ復元してからリカバリ処理…
ディスク全体が暗号化されている環境で、オフラインでリカバリ(復号化)処理を行った後、平文の状態でイメージを作成する方法について示した図になります。 リカバリの方法や手順は暗号化ツールにより異なりますが、例えば PGP Whole Disk Encryption のリ…
ハードディスク全体が暗号化された状態で、Forensic Acquisition Utilities(FAU)に含まれるdd.exeを使い、物理ディスク0(\\.\PhysicalDrive0)を複製している状態を示した図になります。 この場合、dd.exe の実行ログと取得したディスクイメージのハッシュ値…
ディスク全体が暗号化されている状態で、その上で稼働中の OS を使いハードディスクのイメージを作成しようとした場合を想定しています。例えば、dd などを使い、稼働中システムのディスクイメージを取得するといった方法になります。この場合、ディスクへの…
ディスク全体での暗号化を考慮しない場合、通常は黄色い項目「起動・複製・確認」で利用するツールに注意を払えばよいわけですが、ディスク全体が暗号化されている場合にはリカバリ処理「復号化」に使うツールにもフォレンジック的な視点を持つ必要がありま…
このスライドの二つの図では、複製元はすでに電源が落とされ、オフラインで複製を作成することを想定しています。 (上段の図)ハードディスク全体が暗号化されている場合、このハードディスクを KingDEMI のような複製装置で複製した場合、暗号化されたディス…