VMware 上の Windows XP SP2 環境に、NTFS ハードリンクのテスト用にサイズ 100M の仮想ハードディスクを追加。NTFS でフォーマットし、以下の二つのファイルを作成。 echo test > a.txt copy c:\windows\notepad.exe notepad.exe 最初に作成した a.txt はサ…

ある日、突然やってきたシステム管理者に「君の暗号化ボリュームをいまから複製するからね」とか言われると、何も悪いことをしてなかったとしても良い気分はしませんよね。 できればそういった PC の利用者や社内の雰囲気、誤解による二次被害といったことへ…

暗号化されたファイルを復号化し、暗号化されている状態のファイルと平文の状態とでコンペアをとったり、ハッシュ値を計算すると当然値が一致しませんよね〜というお話です。これは一致しないのが通常ですから、どれを復号化して平文のデータとしたのかを記…

Windows でのお話になりますが、あるユーザーが暗号化ファイルを F: ドライブとしてマウントしている場合に、RunAS などを使い別のユーザーで起動した CMD.EXE から F: ドライブへのアクセスが可能か？というお話です。*1 最も確実な方法は、暗号化ファイル…

暗号化ファイルを、論理ドライブ*1やフォルダにマウントして利用するタイプへの対応です。 Windows 上で論理ドライブとして暗号化ファイルがマウントされている場合には、何も考えずにそのまま dd if=\\.\ドライブ文字: などと指定すればドライブイメージの…

暗号化された状態でハードディスクを複製し、dd イメージで保存したとします。(ddイメージは暗号化されたデータが記録されている) この dd イメージに対してリカバリ処理を実行する方法としては、いったん物理的なハードディスクへ復元してからリカバリ処理…

ディスク全体が暗号化されている環境で、オフラインでリカバリ（復号化）処理を行った後、平文の状態でイメージを作成する方法について示した図になります。 リカバリの方法や手順は暗号化ツールにより異なりますが、例えば PGP Whole Disk Encryption のリ…

ハードディスク全体が暗号化された状態で、Forensic Acquisition Utilities(FAU)に含まれるdd.exeを使い、物理ディスク0(\\.\PhysicalDrive0)を複製している状態を示した図になります。 この場合、dd.exe の実行ログと取得したディスクイメージのハッシュ値…

ディスク全体が暗号化されている状態で、その上で稼働中の OS を使いハードディスクのイメージを作成しようとした場合を想定しています。例えば、dd などを使い、稼働中システムのディスクイメージを取得するといった方法になります。この場合、ディスクへの…

ディスク全体での暗号化を考慮しない場合、通常は黄色い項目「起動・複製・確認」で利用するツールに注意を払えばよいわけですが、ディスク全体が暗号化されている場合にはリカバリ処理「復号化」に使うツールにもフォレンジック的な視点を持つ必要がありま…

このスライドの二つの図では、複製元はすでに電源が落とされ、オフラインで複製を作成することを想定しています。 (上段の図)ハードディスク全体が暗号化されている場合、このハードディスクを KingDEMI のような複製装置で複製した場合、暗号化されたディス…

2005年9月5日に開催された、第二回 調査技術ゼミ『 暗号化とフォレンジック調査 』の PDF 資料をネットエージェントの Web で公開しています。 ・ハードディスクパスワード ・フォレンジック・イメージ作成の手順 http://forensic.netagent.co.jp/lecture/in…

プログラマから見た NTFS 2000 Part1: ストリームとハード リンク http://www.microsoft.com/japan/msdn/windows/windows2000/ntfs5.asp105763 HOWTO: Use NTFS Alternate Data Streams http://support.microsoft.com/default.aspx?scid=KB;en-us;q105763W2K…

NTFS のハードリンク機能を使いデータストリームを使うことができるか？について、id:hasegawayosukeさんが実験されていますので下記参照ということで。 NTFS の ADS にはハードリンク経由ではアクセスできない？ http://d.hatena.ne.jp/hasegawayosuke/2005…

Windows XP SP2 以降からは、IE でダウンロードしたファイルのゾーン情報(ZoneId)を保存するために代替データストリームが利用されています。*1 C:\bin>streamls.exe c:\lfnutils-1.0.lzh FILE: c:\lfnutils-1.0.lzh Zone.Identifier C:\bin>lfntype.exe c:\…

代替データストリームを持つファイルから、メインストリーム以外のデータストリームを別のファイルとしてコピーするには、lfnutils に含まれる lfntype.exe を利用します。 lfnutils に含まれている lfntype.exe を利用してデータストリームの内容を抽出する…

代替データストリームを持つファイルから、メインストリーム以外のデータストリームを削除するには、メインストリームの内容を別のファイルとして出力した後、元のファイルを削除します。 例) a.txt にストリーム notepad.exe を作成し、それを削除する type…

NTFS 代替データストリームは OS 標準のコマンドやツールでは検出することができません。そこで、インターネット上から入手可能なツールを利用する必要があります。 代替データストリームの存在を検出することができるツールには以下があります。lfnutils (L…

Windows NT の時代から NTFS ファイルシステムは“代替 データ ストリーム(Alternate Data Stream)”と呼ばれる機能を持っています。【参照】プログラマから見た NTFS 2000 Part1: ストリームとハード リンク http://www.microsoft.com/japan/msdn/windows/win…

rootkit の転送が TFTP 経由で行われたのをキャプチャしたパケット キャプチャ データがあるんですが、このキャプチャデータから rootkit のバイナリデータをリカバリ（抽出）するにはどうするのが簡単なんすかね？ TCP なら Ethereal とかで簡単に取り出せ…

画像ファイルや動画ファイルの構造を解説しているということで下記の書籍を購入してみる。 『図解入門 よくわかる最新ファイル形式と文字コードの基本と仕組み―データ形式、ファイル構造、文字コード基礎講座 (How‐nual Visual Guide Book)』 文字コードの解…

Linuxで実行中プロセスのメモリをダンプするにはどうすれば？というのを塩月さんと話していた気がするのでメモしておこう。何の話題でそんな話になったのかを覚えていなかったり...orz http://lcamtuf.coredump.cx/ http://fire.dmzs.com/?section=tools&sub…

メモ ・istringsとcpconvを使った文字列検索（具体的な手順） ・ファイルタイプに関する説明、The Foremostの使い方詳細 ・Snortを使ったバイナリデータのリカバリ（抽出） ・HELIX の基本的な使い方、入っているツールリスト

打ち上げで学生さんとお話していたら、有名な書籍や映画を見ていないことが発覚...orz カッコウはコンピュータに卵を産む〈上〉 を読んでないとか、ウォー・ゲーム [DVD]やスニーカーズ [DVD]を観てないということで、次回は事前に参考資料？として必須項目…

あれやこれやと実は色々とあったりはします。カーネルモードrootkitの解析とかもネタとしては用意していたのですが、時間がなくて割愛したり、資料もあっちへ飛んだりといろいろとやってました。ただ、資料は恐らく次回もあっちこっちへ飛びながら解説せざる…

Google は使える状態でしたので、皆さん知らないことは逐次検索していただいていましたが、Google での調査には限界がある部分もあるので、次回は参考書籍を少し用意したほうがよいかな〜という印象でした。 フォレンジックの基礎的な教育を受けている方も数…

主には TSK&Autopsy と Ethereal ですが、Zeitline が結構活躍していたみたいですね。あとは定番の HELIX で chkrootkit とか dcfldd とか nc というある意味王道なセットによる実習ですね。 今回の調査対象では意図せず？！アンチ・フォレンジックな手法が…

不正アクセス者役の講師のかたが起こした侵入事件を解析するというものです。 調査対象は RedHat 7.1 と偶然(笑)取得されていた該当時刻のパケットキャプチャデータが題材となっています。VMware 環境ですが、まさに今被害が出たばかりの稼働中システムと、…

ということで？公開講座が行われている隣の教室で8/29〜9/2までの一週間、中央大学研究開発機構研究ユニット「情報セキュリティ教育システムの開発」主催で、「インシデントレスポンスと情報法科学実践講座」の講師をしていました。*1 ５日間の内容はこんな…

何気にWebを確認したらVer0.1がリリースされてました。 08/16/2005: Released version 0.1 of Zeitline. http://projects.cerias.purdue.edu/forensics/timeline.php 以前のアルファバージョンはサイズの大きな fls データをインポートすると反応なかったの…