2005-09-01から1ヶ月間の記事一覧
2005年9月5日に開催された、第二回 調査技術ゼミ『 暗号化とフォレンジック調査 』の PDF 資料をネットエージェントの Web で公開しています。 ・ハードディスクパスワード ・フォレンジック・イメージ作成の手順 http://forensic.netagent.co.jp/lecture/in…
プログラマから見た NTFS 2000 Part1: ストリームとハード リンク http://www.microsoft.com/japan/msdn/windows/windows2000/ntfs5.asp105763 HOWTO: Use NTFS Alternate Data Streams http://support.microsoft.com/default.aspx?scid=KB;en-us;q105763W2K…
NTFS のハードリンク機能を使いデータストリームを使うことができるか?について、id:hasegawayosukeさんが実験されていますので下記参照ということで。 NTFS の ADS にはハードリンク経由ではアクセスできない? http://d.hatena.ne.jp/hasegawayosuke/2005…
Windows XP SP2 以降からは、IE でダウンロードしたファイルのゾーン情報(ZoneId)を保存するために代替データストリームが利用されています。*1 C:\bin>streamls.exe c:\lfnutils-1.0.lzh FILE: c:\lfnutils-1.0.lzh Zone.Identifier C:\bin>lfntype.exe c:\…
代替データストリームを持つファイルから、メインストリーム以外のデータストリームを別のファイルとしてコピーするには、lfnutils に含まれる lfntype.exe を利用します。 lfnutils に含まれている lfntype.exe を利用してデータストリームの内容を抽出する…
代替データストリームを持つファイルから、メインストリーム以外のデータストリームを削除するには、メインストリームの内容を別のファイルとして出力した後、元のファイルを削除します。 例) a.txt にストリーム notepad.exe を作成し、それを削除する type…
NTFS 代替データストリームは OS 標準のコマンドやツールでは検出することができません。そこで、インターネット上から入手可能なツールを利用する必要があります。 代替データストリームの存在を検出することができるツールには以下があります。lfnutils (L…
Windows NT の時代から NTFS ファイルシステムは“代替 データ ストリーム(Alternate Data Stream)”と呼ばれる機能を持っています。【参照】プログラマから見た NTFS 2000 Part1: ストリームとハード リンク http://www.microsoft.com/japan/msdn/windows/win…
rootkit の転送が TFTP 経由で行われたのをキャプチャしたパケット キャプチャ データがあるんですが、このキャプチャデータから rootkit のバイナリデータをリカバリ(抽出)するにはどうするのが簡単なんすかね? TCP なら Ethereal とかで簡単に取り出せ…
画像ファイルや動画ファイルの構造を解説しているということで下記の書籍を購入してみる。 『図解入門 よくわかる最新ファイル形式と文字コードの基本と仕組み―データ形式、ファイル構造、文字コード基礎講座 (How‐nual Visual Guide Book)』 文字コードの解…
Linuxで実行中プロセスのメモリをダンプするにはどうすれば?というのを塩月さんと話していた気がするのでメモしておこう。何の話題でそんな話になったのかを覚えていなかったり...orz http://lcamtuf.coredump.cx/ http://fire.dmzs.com/?section=tools&sub…
メモ ・istringsとcpconvを使った文字列検索(具体的な手順) ・ファイルタイプに関する説明、The Foremostの使い方詳細 ・Snortを使ったバイナリデータのリカバリ(抽出) ・HELIX の基本的な使い方、入っているツールリスト
打ち上げで学生さんとお話していたら、有名な書籍や映画を見ていないことが発覚...orz カッコウはコンピュータに卵を産む〈上〉 を読んでないとか、ウォー・ゲーム [DVD]やスニーカーズ [DVD]を観てないということで、次回は事前に参考資料?として必須項目…
あれやこれやと実は色々とあったりはします。カーネルモードrootkitの解析とかもネタとしては用意していたのですが、時間がなくて割愛したり、資料もあっちへ飛んだりといろいろとやってました。ただ、資料は恐らく次回もあっちこっちへ飛びながら解説せざる…
Google は使える状態でしたので、皆さん知らないことは逐次検索していただいていましたが、Google での調査には限界がある部分もあるので、次回は参考書籍を少し用意したほうがよいかな〜という印象でした。 フォレンジックの基礎的な教育を受けている方も数…
主には TSK&Autopsy と Ethereal ですが、Zeitline が結構活躍していたみたいですね。あとは定番の HELIX で chkrootkit とか dcfldd とか nc というある意味王道なセットによる実習ですね。 今回の調査対象では意図せず?!アンチ・フォレンジックな手法が…
不正アクセス者役の講師のかたが起こした侵入事件を解析するというものです。 調査対象は RedHat 7.1 と偶然(笑)取得されていた該当時刻のパケットキャプチャデータが題材となっています。VMware 環境ですが、まさに今被害が出たばかりの稼働中システムと、…
ということで?公開講座が行われている隣の教室で8/29〜9/2までの一週間、中央大学研究開発機構研究ユニット「情報セキュリティ教育システムの開発」主催で、「インシデントレスポンスと情報法科学実践講座」の講師をしていました。*1 5日間の内容はこんな…
