インシデント・レスポンスの演習とかやると、rootkit などを発見したことで「終了」といった雰囲気になる場合がありますけど、実際には被害範囲の特定や、被害発生時期の確認とかのほうが復旧上は重要なわけですやね。そこで必要となるデータが得られるので…

なんだかんだ言いながら、仮にログが揃っているとしても、プロセス実行状況とTCP/IPの接続状況はあったほうが良いような気がしますね。でも、それ以外でどうしても必要な情報っていうとなんでしょうね？ 最近流行のメモリダンプ？、確かに取得できるのであれ…

揮発性情報の取得目的によりますが、怪しいものがいないか確認したいということであれば、そもそも『見えるのか？』という問題がありますね。 最近はすっかりメジャーになった？ rootkit ですが、昔のファイル置換により隠蔽するタイプではなく、正規のコマ…

の確認はしたほうがよい気がするので、ケーブル抜く前に ipconfig /all を実行したほうがよいのではないでしょうかね。っていうような話題を数年前に港139MLでやった気がするけど、ipconfig 実行するのであればついで kjm 先生お奨めの /displaydns オプショ…

いやぁここ本当に考えていただきたいところなんですが『その揮発性情報は本当に必要なんですか？』という事です。それだけ必要な情報であれば、ログに記録するようにしたほうが良いのではないでしょうか？ もしログに残らないとか、その時点での情報がどーし…

コマンド実行時に失われる可能性がある情報として、MACtime があります。MACtime も時間の経過と共に更新され失われますので、一種の揮発性情報だと個人的には考えています。タイムラインを追跡したことがある管理者であれば、MACtime の重要性は認識されて…

例えば、現在実行中のプロセス情報を確認するという目的であれば、タスクマネージャのプロセスタブから確認することができますが、ここで表示される情報には、調査や追跡で必要となる実行パスが抜けてます。あえて揮発性情報を取得するのであれば、それが追…

個人的にはいつも悩むのですが、実行中のプロセス情報とTCP/IPの接続状態、どちらのコマンド実行を優先すべきなんでしょうかね？ 揮発性の順序は“消えやすいものから”ですが、ここで考慮しておかなければいけないのは、コマンド実行後に情報取得に必要となる…

ITProの「今週のSecurity Check(第176回)」という記事を読んで、揮発性の順序やコマンドが人によって違うもんだなぁと改めて思ったのでちょっとメモしてみたり。 「Windowsマシンへの不正アクセスを発見」---そのとき，どうする？ Windowsにおける証拠保全の…

TSKとAutopsyの組み合わせで、Ext2 ファイルシステムの削除ファイルを表示する場合、ディレクトリエントリの情報からファイル名を、inode からメタ情報を取得しているようですので、inode 番号が 再利用され、かついずれのファイルも削除状態にあると、どち…

今回の実習でも狙ったかのように（笑）、調査対象としなければいけない一部の削除ファイルのエントリ情報として、以下のような inode 情報を表示するものがありました。 Pointed to by file: /5/etc/httpd/conf/httpd.conf~ (deleted) /5/root/nmap-3.81.tgz…

ちょっと気になったので、キーワード検索で文字列「pin.sh」を ASCII のみで検索してみたのですが、Fragment 137312 で pin.sh のディレクトリエントリの残骸と推測される以下の内容を確認することができました。 Hex Contents of Fragment 137312 in redhat…

sonodamさんが書かれている「調査中出てきたおもろネタ」のタイムラインですが、ネタバレしちゃうと*1 まず調査のきっかけというかネタ振りになっている .bash_history の一部が以下のような記述になっています。.bash_historyの記述内容 vi pin.sh sh -v pi…

園田さんと一緒に講師をさせていただいた、高度ポリテクセンターの「インシデントレスポンス（不正アクセス調査と対処）」コースですが、二日間無事に終了できました。受講された皆様お疲れ様でした！ 事前準備（ネタ仕込みとかもろもろ）を全然お手伝いでき…