1.ファイルAが削除される（inode 99番） 2.ファイルBが作成され、削除される（inode 99番） 3.ディレクトリのエントリ情報からファイル情報を復元する ファイルAとファイルBのエントリが発見される 4.ファイルAとファイルBはいずれも inode 99 を示すので、 …

マウント時にリードオンリーを指定した場合、Ext3やReiserFSのジャーナル領域？も読み取り専用なんすかね？、PDEだとどのみちライトブロックしつつ書き込みデータをキャッシュする機能があるので、PDE使っている場合には気にしてないのですが、HELIX などか…

E0形式で保全されたディスクイメージ（中身はLinuxシステム）に対して、chkrootkitをかけてみたいなぁという場合の手順 (1)VMware（ゲストOS）に適当なLinuxをインストールする 例えば Fedora5 をゲストOSとしてインストール ※ゲストOSインストール時、イン…

Windows から Ext2fs や Ext3fs パーティションをマウントするツール*1は結構見かけるのですが、Windows で ReiserFS をマウント可能にするドライバやツールってこの辺り↓でしょうか？ rfstool http://p-nand-q.com/download/rfstool.html visualrfstool htt…

やってきますね。今年はさらに強力な講師陣になるようで、いろいろな体験ができるのではないかと思うです。 経産省のセキュリティキャンプ，対象年齢を引き上げ22才までに http://itpro.nikkeibp.co.jp/article/NEWS/20060609/240578/ ツールの使い方を説明…

N+I 会場では、久しぶりに鳩匠にお会いしたのですが、年月の経つのは早いものですねぇという話題に（笑） 確かに、昨年の6月にネットエージェントへ入って、気がつけばすでに1年が経過してたりするわけですから、自分の成長しなさっぷりには驚かされます...o…

展示会というか、人ごみが久しぶりだったというのもあり、初日・二日目はかなり酔ってグロッキー状態でした、最終日は少し慣れたのですが、人ごみに目が廻るので来年はオトナシク会社で留守番してようかと思っていたり。 展示されてる内容を見てる分には大丈…

ネットエージェントブースに来場いただいた皆様ありがとうございました。 久しぶりにお会いした方々から「最近書いてないね」と突っ込みをいただいたので更新してみるテスト（笑） mixi の日記は適当に書いてたりはするのですが、はてなは書きたいネタがある…

Google で検索したら発見できたので、引用しておきます。【Fsutil : behavior、disablelastaccess {1|0} を使用する】より引用ここから http://www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/ja-jp/fsutil_behavior.asp NT…

ディスク上の Atime は分解能に従って更新されますが、Atime そのものはメモリ上でキャッシュされ更新されていきます。 例えば、timestomp で notepad.exe の Atime を確認します。 timestomp.exe c:\WINDOWS\system32\notepad.exe -v Modified: Wednesday 8…

前置きはさておき、試しに notepad.exe を実行した時の Atime と、.pf ファイルの Atime を比較してみます。*1 notepad.exe 2006/4/2 10:34:49 NOTEPAD.EXE-336351A9.pf 2006/4/2 10:34:51イベントログ上では、notepad.exe の実行時刻が「10:34:49」となって…

3/25に書いた Windows XP のプリフェッチ機能ですが、最終アクセス時刻（Atime）との関係についてもう少し詳しく見ておきたいと思います。 NTFS では、最終アクセス時刻の分解能が 1時間という仕様になっています。*1 プラットフォーム SDK GetFileTime より…

Prefetch フォルダには、Layout.ini というテキストファイル（文字コードは UTF-16LE)もあります。このファイルに関する説明がマイクロソフトの資料に記述されています。 Microsoft Windows XP パフォーマンス*1より引用ここから Windows XP は既定で 3 日に…

ウイルスファイルが「Prefetch」フォルダ内で発見される http://esupport.trendmicro.co.jp/supportjp/viewxml.do?ContentID=jp-28565 Windows XP で Prefetcher コンポーネントを無効にする方法 http://support.microsoft.com/?id=307498 フロッピーディス…

なかなか使えそうな情報ですが、Prefetch フォルダに置かれたファイルの実行ユーザを調査員が読み違えてしまった事例が紹介されています。 Digital Forensic Readiness: Are You In? http://www.esecurityplanet.com/best_practices/article.php/3572896 調…

NTFSの代替データストリーム（ADS)からプログラムを起動した場合でも Prefetch フォルダに.pfファイルが作成されます。例えば、a.txt:notepad.exe を実行した場合、 Prefetch フォルダには以下のファイルが作成されます。 例）A.TXT:NOTEPAD.EXE-1F3C4875.pf…

PFファイルの中身はバイナリファイルの為、目視で確認しても意味不明の部分が大半です。しかし、istrings などで Unicode(UTF-16LE) 文字列を抽出すると、いろいろ読み取り可能な文字列を取り出すことができますが、これがなかなか興味深いです。 例えば、外…

Windows XP/Server 2003 には、アプリケーションの起動を高速化させる目的でプレフェッチ*1機能がありますが、これはフォレンジック調査でも興味深い機能だったりします。 Microsoft Windows XP パフォーマンス http://www.microsoft.com/japan/technet/prod…

HAP・DCO とくれば、ATA のあれ*1ね〜となるわけですが、Chapter 4 を眺めて章末の問題を解いていたところ7問目の選択肢に以下の記述が。 B. Stands for Dynamic Configuration Overlay これは無いよねとか思ったら、回答間違えた...orz DCO は「Device Conf…

順を追って SI と FN の変化を見ていきます。 ファイルを新規に作成すると、SI と FN には作成日時として同じ値が記録される ハードリンクを作成すると、 FN2 にその時点の SI の値が記録される ファイル（FN1）を移動すると、その時点の SI が FN に記録さ…

ファイル MACE.TXT に対して、NTFS ハードリンクを設定したところです。*1 ちょっとわかりにくいかもしれませんが、赤字で「30」となっている箇所が $FILE_NAME の属性値を示しており、MACE.txt と hardlink.txt の二つの $FILE_NAME 属性がこのレコードには…

ファイル名：MACE.txt の ＄MFT レコードを 16進形式で表示しているところですが、UTF-16LE で 0xF2 の辺りからファイル名が記録されているのがわかるかと思います。このファイル名を記録している属性値（＄FILE_NAME）が持つタイムスタンプが少し上にあり、…

timestomp はフォレンジック調査においてタイムスタンプが使われるのに対抗するための Anti-forensics ツールで、MACE タイムスタンプを表示・変更することが可能なツールです。平たく言えばタイムスタンプの変更ツールなわけですが、1601年〜30827年の任意…

今頃かよ！という噂もありますが、前々回*1のセキュ蕎麦の資料を以下の URL に置きました。*2 Time Stamp vs Time Stomp http://forensics.sakura.ne.jp/PPT/20051105-soba-ihara.pdf Metasploit Anti-forensics homepage で公開されている timestomp という…