脚注に記述されている“訳者による突っ込み”を読むのも楽しみの一つなのですが、本文内でも注意して読むと大雑把な記述？が多いなか、妙に日本的？な運用面にも突っ込んだ HACK が記述されていることがあります。ほぉこれはなかなか面白いなぁ、知らなかった…

フォレンジック関連の記述というか関連する項目はあまりなかったのですが、HACK 113 “ファイルシステムのイメージ作成”が DD コマンドの解説とかされています。 ただ、個人的に笑ったというか、ニヤっとしてしまったのは、11章の冒頭に記述されている決着が…

個人的に興味を引かれたのは、3章にある HACK 38“Windowsのバージョンに依存せずファイルを暗号化する”P105 に記述されてる TrueCrypt の記述ですかね。PGPDisk みたいな暗号化ボリュームのお話なんですけど、この中に気になる記述が。 「ネットワークセキュ…

ということで？Amazonに注文していた「ネットワークセキュリティHacks 第2版 ―プロが使うテクニック & ツール 100+」が届いていたので、早速読んでました。書籍自体がそれほど分量が多い本ではないので、好きな部分を斜め読みしていくだけでも面白いのですが…

やってみましたが、お腹すいている？ http://maker.usoko.net/nounai/

ファイル システム トンネリング機能は、ファイル名の変更時にも有効ですが、これって確か Office 製品でテンポラリファイルで編集した内容を反映する場合に使ってるんでしたっけ？ echo office > a.txt copy a.txt a.tmp del a.txt ren a.tmp a.txt 例えば…

昨日の実験を行っている最中に、間違えて以下のコマンドを実行してしまいました。 echo sample > a.txt echo 123456 > a.txt echo で a.txt の内容を 123456 へ更新しようと思ったのですが、上記では2回目の echo 文により a.txt が新規に作成されることにな…

一定時間内に削除されたファイルと同じ名前のファイルが作成された場合、作成日時などを引き継ぐ機能で、FAT・NTFS のファイルシステムで実装されています。 [NT]Windows NT のファイル システム トンネリング機能 http://support.microsoft.com/kb/172190/ja…

分解能の影響を避けるために、atime.txt を作成してから 1時間以上経過してから、以下のコマンドを実行。 type atime.txt コマンド実行（ファイルの読み取り）以後に、Entry Modified を確認しましたが変化なし。 最終アクセス日時の変化時 Last Accessed ○ …

ファイルのアクセス権を変更した場合に、Entry Modified が変化するか確認してみます。まずサンプルのファイルを作成し、タイムスタンプが全て 14:00:34 であることを確認。 echo acl > acl.txt 次に cacls コマンドを使い、acl.txt のアクセス権を変更しま…

ファイルを削除した場合に、Entry Modified が変化するか確認してみたいと思います。 h.txt の Entry Modified が 11:00:28 であることを確認し、以下のコマンドを実行。 del h.txt ファイル削除後の Entry Modified も 11:00:28 であることを確認。 ファイ…

ファイルを移動した場合に、Entry Modified が変化するか確認してみたいと思います。 移動前の h.txt の Entry Modified は 10:56:28 であることを確認し、以下のコマンドを実行 move c:\h.txt c:\temp 移動後の h.txt の Entry Modified は 11:00:28 となり…

ファイル名を変更した場合に、Entry Modified が変化するか確認してみたいと思います。 新規に a.txt を作成し、タイムスタンプが全て同じになっていることを確認し、*1 新規に g.txt を作成し、タイムスタンプが全て同じ 10:42:13 であることを確認し、以下…

NTFSの暗号化ファイルシステム（EFS）で暗号化を実施した場合に、Entry Modified が変化するか確認してみたいと思います。 c.txt の Last Written は 09：50：04、Entry Modified は 10:28:14 の状態で以下のコマンドを実行します。 $STANDARD_INFORMATION (…

“読み取り専用”や“隠しファイル”などの、フラグが変化した場合に、Entry Modified が変化するか確認してみたいと思います。c.txt の Last Written と Entry Modified が 09：50：04 の状態で以下のコマンドを実行します。 attrib +R c.txt 「読み取り専用」…

NTFSでハードリンクを作成した場合に、Entry Modified に変化が発生するか確認してみたいと思います。c.txt の Last Written は 09：33：51 の状態で以下のコマンドを実行します。 fsutil hardlink create d.txt c.txt ハードリンク作成後の、c.txt の Last …

そもそもファイルの更新時（ファイルサイズに変化なし）で、Entry Modified が変化するのかテスト。ファイルサイズを変更しないように、同じサイズの文字列で更新してみる。 とりあえず、ファイルを作成。 echo size > c.txt notepad. c.txt この状態でタイ…

まずはテスト用のファイルを作成 echo test > a.txt File Indentifierは 19341番、Entry Modified を含むタイムスタンプはいずれも 09:08:26 つぎに、NTFS 代替データストリームを追加した場合。 echo sample > a.txt:b.txt MFTレコードにストリームが追加さ…

Windows XP Sp2 の環境で、CMD.EXE を使った操作の後に、EF6.5 でプレビューして確認。 OSをシャットダウンせずにその時点でのディスク（MFT）内の情報で確認しているので、ひょっとするとメモリ上に保持している時刻があるかもしれませんが、とりあえずテス…

昨日今日と「車乗り換えたんですか？」とか「結婚したの？」とか「顔色よくなりました？」とか「肝臓は？」など聞かれたんですけど、しばらく世間と離れているといったい自分がどういう状況になっている事になているんだろうとか思いましたですよ。 相変わら…

オライリーのブースでは、編集の M 氏が Sonodam さんを探していて、Y 氏は DANNA さんを探していてと、皆さん広い会場でいろいろと人探し状態になっていたようで（笑） 仕事の関係で、ご紹介を〜とか思って伺ったブースでも、丁度入れ違いだったりとしてま…

DANNA さんに「新しい本出たから」というお話を聞いて、オライリーブースに伺ったのですが、W 氏からは「もう売り切れましたよ！」というお言葉...orz なんか、今日購入した人にはもれなくみっきースタンプがついていたとの噂も（笑）ネットワークセキュリテ…

展示会に行ったのがかなり久し振りだったので、少しブースとか見て回ろうと思ったのですが、いろいろ歩いていて思ったのは、何を見たらいいのかさっぱりトレンドが不明（笑） 業界方面では、データ復旧センターさんが「X-ways forensics」日本語化したもの）…