TSKとAutopsyの組み合わせで、Ext2 ファイルシステムの削除ファイルを表示する場合、ディレクトリエントリの情報からファイル名を、inode からメタ情報を取得しているようですので、inode 番号が 再利用され、かついずれのファイルも削除状態にあると、どち…

今回の実習でも狙ったかのように（笑）、調査対象としなければいけない一部の削除ファイルのエントリ情報として、以下のような inode 情報を表示するものがありました。 Pointed to by file: /5/etc/httpd/conf/httpd.conf~ (deleted) /5/root/nmap-3.81.tgz…

ちょっと気になったので、キーワード検索で文字列「pin.sh」を ASCII のみで検索してみたのですが、Fragment 137312 で pin.sh のディレクトリエントリの残骸と推測される以下の内容を確認することができました。 Hex Contents of Fragment 137312 in redhat…

sonodamさんが書かれている「調査中出てきたおもろネタ」のタイムラインですが、ネタバレしちゃうと*1 まず調査のきっかけというかネタ振りになっている .bash_history の一部が以下のような記述になっています。.bash_historyの記述内容 vi pin.sh sh -v pi…

園田さんと一緒に講師をさせていただいた、高度ポリテクセンターの「インシデントレスポンス（不正アクセス調査と対処）」コースですが、二日間無事に終了できました。受講された皆様お疲れ様でした！ 事前準備（ネタ仕込みとかもろもろ）を全然お手伝いでき…