セキュリティキャンプではバイナリエディタとして Stirling を使いましたが、前提条件として dd で Fat ファイルシステムのイメージを作成して、それを閲覧することを想定しています。これだと、?サンプルのファイルを作成、?DDイメージの作成、?バイナリエ…

今回は FAT と exFAT で遊んでみることを考えていますが、FAT に関しては各種資料が Web にあがってます。マイクロソフトからも以下の文書が公開されていますので、この資料がまずは基本になるかと思います。 FAT32 File System Specification http://www.mi…

「事前に勉強しておくべきことなどはありますでしょうか？」というご質問をいただいたので、返信の前にちょっと参考情報とかをまとめてきたいと思います。 とはいえ、実際にやってみて楽しむのが趣旨なので、「事前に遊んでみる」ということで。

なにげに検索していたら、exFAT DRIVER for Windows XP and Windows Server 2003というのを発見したのですが、なんとなく怖くてまだ試していません。（というか入手していない） exFAT DRIVER for Windows XP and Windows Server 2003 http://www.torrentrea…

ふと、削除ファイルの復元ツールの対応情報はどうなっているのか気になったので調べてみたのですが、FinalDataは非対応と記述がありますね。 ※vista SP1で採用されたリムーバブルドライブ専用フォーマット「exFAT」は非対応。 http://www.finaldata.jp/fd8.h…

日本語のページで exFAT 関連の情報を探してみたので、とりあえず URL をメモ。 「exFAT 構造解析」で詳しく解説されているので、実際のファイシステムのデータを見ながら調べるのにたいへん参考になりそうです。いやぁこの手の資料は大変ありがたいですね。…

ということで？USBメモリを Vista Sp1 な環境でフォーマットして、サイズ 32M の exFAT 領域を作成してみました。 当然といえば当然ですが、EF 6.11.2 で見ても単なる Unallocated Clusters な領域ですが、ディレクトリエントリを見つければ目視でそこそこ追…

そういえば、Vista Sp1 から Extended FAT(exFAT)が追加されてますが、これってもともとはWindows Embedded CEとかから来てるんでしたっけ？調べないといけないなぁと思って、今日ふと思い出しました。 Extended FAT File System http://msdn.microsoft.com/…

エントリ削除。

とりあえず取るのは簡単なわけですが、とったあとが問題になってくるわけですね。で、その辺りの専用ツールについては、ukky3 さんが早速 HBgary Responder をレポートされてますので、そちらも参照。 Reverse Engineering Rootkits, その１ http://d.hatena…

mdd 1.3を Windows XP x64（メモリ 4G） な環境で実行してみました。実行は問題なくできるようですね....あ！落ちた。っていうか、OS ではなく PC が落ちた。画面真っ暗・・・orz 落ちたけど、ファイルは4GB分できてますねぇー、でも中身見てないのではたし…

Forensic Focusのニュースで知ったのですが、mdd 1.3 がリリースされているようですね。*1最近フォレンジック方面では何かと話題の？メモリイメージをダンプするツールですが、個人的には WinEn より mdd のほうが気にいってます :-) ManTech Memory DD Vers…

やっと原因と思われる仕様？なのか動きがわかった気がします。FAT の場合に発生するようですが、簡単にメモっておくと、File Finder で JPG を選択した場合、FAT の削除ファイルについて、1クラスタ分（例えば4セクタ）を削除ファイルのデータ領域と判断。残…

File Finderスクリプトで、USB メモリからサンプルの JPEG 画像を検出する演習をやったんですが、これまた見事に発見しません...orz いやぁありえない〜とか思って、自分の手順が悪いことを期待したのですが残念ながらそんなこともなく、再度テストしてます…

FATxの読み書きに対応したツールも、xplorerやFATX Explorerなど幾つかあるようですね。画面だけ見た印象ですと、Xplorer360が使いやすそうな雰囲気です。 Xplorer360 http://www.360gamesaves.com/Xbox-Scene Legal Tools Downloads http://www.xbox-scene.…

Xbox Linuxプロジェクトのページに、FATxに関する解説記事があります。 Differences between Xbox FATX and MS-DOS FAT http://www.xbox-linux.org/wiki/Differences_between_Xbox_FATX_and_MS-DOS_FAT 実物を見ていないのでわかりませんが、上記内容を見る…

XboxにLinuxをインストールし、違法な画像データなどをやり取りするためのFTPサーバを構築するといったことがあるようで、Xboxのフォレンジック調査についての記事がありました。 Xbox Forensics - "You wanna play with me http://www.evidencetalks.com/ne…

マイクロソフトの MVP 向けのプログラムで、Xbox 360が先週かな？我が家にやってきました。以前、(前職の会社から)本体を借りたこともあったんですが、その時には HDD 付属モデルではなく、噂の FATX は拝めずに終わってました。 そもそもなんで Xbox かとい…

ちなみに、上記演習を参加者自由で勉強会というか演習会でもやってみる〜とか言ったら参加する人いるんですかね？会場手配とかもろもろ面倒なのはやりたくないんだけど（笑）

13日の開講式から14日終日参加し、今年は解析クラスの「ハードディスク解析」というのを担当してきました。 いやぁ、2日間ではぜんぜん物足りないですね（笑）。もっと参加していたかったのですが、お仕事の都合もあり今日から会社に戻っているんですが、そ…

CEIC 2008 で教えてもらった HBgary の Responder ですが、ukky3 さんところの情報によると、BlackHat でトレーニングがあったみたいですね。 Black Hat & DEFCON @Las Vegas http://d.hatena.ne.jp/ukky3/20080809/1218262677 帰国されてからのレポート楽し…

BootItツールで再度「Flip Removable Bit」を実行してから、USB メモリを接続したら「リムーバル」になってました。 たぶんこれで戻ってるんではないかと思いますが、戻らなくても責任持てませんので(^^;;

Googleで検索してみたところ、以下の URL で該当する記事を発見。先に書いておきますが、以下の URL にある方法を使った場合、元に戻す方法が不明、ですので注意してください。*1 あと、この BootIt ツール*2自体は、どの USB メモリでも対応しているわけで…

今年も「セキュリティキャンプ 2008」の季節がやってきているわけですが、演習で使うデバイスが年々？サイズが大きくなってきて困っています。 以前は 32MBの USB メモリとか普通に売ってましたが、最近はヨドバシとかに行っても128Mがあればいいですけど、…

ヨドバシカメラには見事に最小サイズで 2G しかなかったので、2G の Buffalo RUF-C/U2 2GB をかってきたのですが、いちおうこれでも「Flip Removable Bit」が使えました。ただし、接続するたびに、デバイスに問題がある！って Windows XP から文句言われてし…