2005-01-01から1年間の記事一覧
今回使った BlackHat Japan の資料では、タイトル文字列として「フォレンシU+030Bック」と書いてあります。 片仮名の「シ」は U+30B7 ですが、これにわざと濁点っぽく?見える U+030B COMBINING DOUBLE ACUTE ACCENT を結合してあたかも「ジ」U+30B8 のよう…
やっぱり人間なんですよねぇ・・・ コンピュータ・フォレンジック分野がいちばん影響受けるんぢゃないかと思う今日この頃だったりしてます。
BlackHat Japan では、文字マジシャンのお許しを得てデモ*1はしましたが、「葉っぱマジック」?が使われていると検索は失敗しますのでご注意ください(笑)*2 *1:デモした部分は公開資料には入っていません、日本の諸事情に配慮してみました *2:いや本当は笑…
ちょっと補足。 『Valid の項目が真であれば、キーワードをそのコードページで検索できます。』と書いてますが、逆に言えばキーワードとして入力された文字列の影響を受けます。念のために CPCONV で変換できない文字が混じってないか確認したほうがよいと思…
この検索方法では、検索するキーワードとして指定された文字列が、それぞれのコードページへ変換されて(おそらく16進形式で)検索されていると思われます。これは、CPCONV で文字列を 16進数へ変換し、16進数形式のパターンで検索することと基本的には同じに…
私信でご質問いただいたのですが、GSI のメッセージボードを読まれてない方もいらっしゃるようなので、こちらにも貼っておきます。それと、この検索方法の問題点についても後述したいと思います。調査技術ゼミのネタなので詳しくは明日なのですが... EnCase …
確かにそうなのですが、不正アクセスなどに使われる脆弱性って、想定の範囲外で使われてしまうので問題あるわけですよね? 笑い話にしかならない問題を報告されるケースもひょっとしたらあるのかもしれませんが、そこで受理しなかったら開発元は不具合がある…
天下の IPA で攻撃方法を思いつかない不具合は、脆弱性とは認識しないらしい。 ソフトウエア等の脆弱性関連情報に関する届出状況 [2005年第3四半期(7月〜9月)] - IPA http://d.hatena.ne.jp/hasegawayosuke/20051012#1129094820 そこまで言い切るのなら、…
コンピュータ・フォレンジック製品によっては、検索で正規表現を使えたりするわけですが、確かに便利なのですが長い定義になると何かひっかからないのかよくわからなくなってしまう自分がいたり(^^;; 正規表現を使うことで広範囲に検索できるのは嬉しいので…
ここ最近は文字コードな方面を(詳しい方のお知恵をお借りしながら)いろいろと調べているわけですが、某海外製品とかで日本語文字列の検索がヒットしないのを先週だけで 3件ほど報告してみたりしてます。細かいお話は BlakHat Japanか調査技術ゼミでネタにす…
の参加者も募集中!ということで遅まきながら。 第4回セキュそば勉強会のお知らせ http://d.hatena.ne.jp/miyay3/20051105 テーマ1が「Anti-forensics」って餌に釣られますね(笑) ここ最近、日本語関係?の Anti-forensics な話題が多いのですが、BlackHat…
10月09日開催予定の勉強会の参加者募集が開始されました。 【テーマ】 『 あなた(ハニポ)と過ごした3年間 』 日時 2005 年 10 月 09 日 (日曜日) 会場 大田区産業プラザ 6F C会議室 http://www.pio.or.jp/ 時間 13:00〜16:30(12時30分より受け付け開始) 定…
Windows のコードページについて解説しているマイクロソフトの文書を探しているのですが、リソースキットとか読んだほうが早いんでしょうかね。 とりあえずサポート技術情報で見つけた文字コード関係で気になるURLのメモ。 コードページ サポート セットアッ…
16進数で echo を使いたかったので探したらあるもんですね〜。 http://hp.vector.co.jp/authors/VA015622/ssecho.htm これでなんとかなる気がしてきた...
出張続きで不在だったのですが、久しぶりに出勤したら「Linux ソフトウェアアンテナ」が机の上に置かれていました!! 先月のネットエージェント調査技術ゼミで参考にさせていただいたのですが、宮本さんが Linux 方面でも暗号化ファイルシステムに関して寄…
EnCase Intermediate Analysis and Reporting(中級コース)が、12月5日〜9日にかけて日本で開催されます。EnCase の使い方をハンズオン形式で学ぶコンピュータ・フォレンジックな専門コースです。 第二回EnCaseトレーニング開催 http://www.encase.jp/educa…
すでに数名のかたにハッケソされてしまってますが、「国内のフォレンジック」というテーマでお話させていただきます。 http://www.blackhat.com/html/bh-japan-05/bh-jp-05-jp-speakers.html 恐らく、与えられたテーマ的には国内市場などを踏まえたお話をす…
2005年10月21日(金)に開催予定の、ネットエージェント 調査技術ゼミ(第三回)の参加者募集が開始されています。 第三回 ネットエージェント【調査技術ゼミ】開催のお知らせ http://forensic.netagent.co.jp/announce/20051021.txt 今回のテーマは『文字コ…
タイムスタンプの変化を確認するため、以下の手順を実行した後にそれぞれの属性値が持つタイムスタンプを確認してみたところ。 C:\temp>echo mtime >> test1.txt $STANDARD_INFORMATION 09/11/05 10:52:26 (作成日時) 09/11/05 11:04:56 (更新日時:mtime…
タイムスタンプの変化を確認するため、以下の手順を実行した後にそれぞれの属性値が持つタイムスタンプを確認してみたところ。 C:\temp>echo test > test1.txtC:\temp>fsutil hardlink create test2.txt test1.txt C:\temp\test2.txt > C:\temp\test1.txt の…
$FILE_NAME も4つのタイムスタンプ(4つ)を持っていますが、ハードリンクを作成した時には以下のような動きをするようです。 1.fsutil hardlink create c.txt a.txt を実行する 2.$STANDARD_INFORMATION に保存されていたタイムスタンプが、c.txt の $FILE…
ハードリンクで作成されたファイルの属性値($STANDARD_INFORMATION や $FILE_NAME)がどう処理されているのかをちょっと確認。 Attribute - $STANDARD_INFORMATION (0x10) http://linux-ntfs.sourceforge.net/ntfs/attributes/standard_information.html At…
NTFS のハードリンクと代替データストリームを組み合わせるという、さすがなテストについてはこちら↓参照ということで。 NTFS の ADS にはハードリンク経由ではアクセスできない? http://d.hatena.ne.jp/hasegawayosuke/20050906#1125995216 ということで?…
MFTエントリが同じなので当然といえば当然の結果なのかもしれませんが、なかなか面白いですね。 F:\>echo stream > a.txt:h.txtF:\>more f:\b.txt:h.txt stream この時の MFT エントリ 36-128-6 の情報は下記になります。代替データストリームは $DATA (128-…
もう少し詳しく調べてみる必要がありますが・・・ ハードリンクを作成した場合でも、新たに MFT エントリが作成されるということではなく、リンク元となったファイルの MFT レコードに新しいファイル名(リンク)が追加されるということのようですね。($FIL…
プログラマから見た NTFS 2000 Part1: ストリームとハード リンク(http://www.microsoft.com/japan/msdn/windows/windows2000/ntfs5.asp#ntfs5_topic6 )より引用ここから 『ハード リンクは、同じ NTFS ボリューム内で作成しなければならないので注意が必…
MFTレコードの内容を確認 Pointed to by file: F://note.exe F://NOTEPAD.EXE F:/test/noteB.txt File Type: MS-DOS executable (EXE), OS/2 or MS Windows MD5 of content: 518cfcf8e0c7b133d365ddaa22916052 SHA-1 of content: 8aa33633f4abcd071782a5ce50…
MFTレコードの内容を確認 Pointed to by file: F://b.txt F://a.txt F:/test/c.txt File Type: ASCII text, with CRLF line terminators MD5 of content: a55ab7512f0d0ff4527d898d06afd5c5 SHA-1 of content: b1b0f3993c24e223152a9a41242cdd6757754a86 Det…
Autopsy 2.05でddイメージを確認 r / r a.txt 2005.09.10 22:12:37 (JST) 2005.09.10 22:12:37 (JST) 2005.09.10 22:35:03 (JST) 7 0 0 36-128-3 r / r b.txt 2005.09.10 22:12:37 (JST) 2005.09.10 22:12:37 (JST) 2005.09.10 22:35:03 (JST) 7 0 0 36-128-…
