BootItツールで再度「Flip Removable Bit」を実行してから、USB メモリを接続したら「リムーバル」になってました。 たぶんこれで戻ってるんではないかと思いますが、戻らなくても責任持てませんので(^^;;

Googleで検索してみたところ、以下の URL で該当する記事を発見。先に書いておきますが、以下の URL にある方法を使った場合、元に戻す方法が不明、ですので注意してください。*1 あと、この BootIt ツール*2自体は、どの USB メモリでも対応しているわけで…

今年も「セキュリティキャンプ 2008」の季節がやってきているわけですが、演習で使うデバイスが年々？サイズが大きくなってきて困っています。 以前は 32MBの USB メモリとか普通に売ってましたが、最近はヨドバシとかに行っても128Mがあればいいですけど、…

ヨドバシカメラには見事に最小サイズで 2G しかなかったので、2G の Buffalo RUF-C/U2 2GB をかってきたのですが、いちおうこれでも「Flip Removable Bit」が使えました。ただし、接続するたびに、デバイスに問題がある！って Windows XP から文句言われてし…

謎な CodePage 50420 がどういった文字列パターンが調べてみようと思い、Unicode(UTF-16LE)なファイルを用意して、wiconv でコンバートを試みたわけですが、案の定？、コンバートがサポートされていません。 C:\WICONV-0.2>wiconv.exe -f 1200 -t 50420 samp…

稼働中システムの電源を落とすと揮発性情報が失われるわけですが、その場でいろいろできない時に、電源を入れたままで場所を移動させる荒業？用の WibeTech 社の HotPlug も展示されていました。 HotPlug http://www.wiebetech.com/products/HotPlug.php 詳…

マイクロソフトの法執行機関向け COFEE が話題になっているようですが、HBgary のブースでは以下の資料の印刷物が配布されていました。 Collecting Evidence from a Running Computer: A Technical and Legal Primer for the Justice Community http://www.s…

CEIC 会場で HBgary がブースを出していたので、担当者*1に Responder の画面などを見せてもらい簡単な説明をうけました。*2 デモでは _rootkit_ なドライバが存在しているメモリイメージの解析の簡単な方法や、どんな情報が得られるかを見せていましたが、…

出張から帰国してそのまま連休*1に突入してしまい、すっかり一部の情報を失念している気がしていますが、CEIC 2008 で得た情報を整理中です。 *1:たんに狩に出ていただけですが

昨日、GSI とのミーティングで、『CEIC の会場で HBGary をぜひ見てこい！』といわれたのですが、なんのこっちゃと思って調べてみたらこれですね。 HBGary http://www.hbgary.com/ 製品自体は Responder Professional と FE（フィールドエディション）から構…

RegRipperに追加されたプラグインを確認しているのですが、ide.pl「Get IDE device info from the System hive file」というのがありますね。フォレンジック調査的にはどんな情報をパースするのか面白そうです。

ということで、すごく眠いです。頭がいつも以上に鈍化しているので、日記を書いていても誤字脱字がいつも以上に多い気がする。。。orz

先日 RegRipper の件を書いた折に、レジストリ上の日本語文字列の抽出で文字化けが発生すると書いたのですが、ukky3さんが対応策を以下で書かれています。一個ずつプラグイン修正するのは大変な気がしますが、とりあえず日本語を出したい時にはいけそうです…

BitBucketというプラグインも追加されたようなのですが、BitBucketってこのレジストリキーのチェックを実施するということなんでしょうかね？ ごみ箱のセキュリティを強化する方法 http://support.microsoft.com/kb/186595/ja 不勉強ながらこんなキーがある…

RegRipperがバージョンアップして2.01Aになったようです。大きな変更はないようですが、CSV出力や、幾つかプラグインが追加されている様子です。 Updated RegRipper http://windowsir.blogspot.com/ 追加されたプラグインに SAMParse というのがあるのですが…

ということで（日付的には一日戻って？）LA に到着です。 時差ボケ対策に動かないと・・・

すぐに忘れてしまうので、「図と地」の図地反転図形の URL をメモ。 ルビン「ルビンの壷（ルビンの杯）」（1915年） http://www.geocities.jp/sakushiart/zutozi1.htm フォレンジック調査でも最終的な結論を出す（報告書にまとめる）際に、似たような状況に…

幾つか気になった点としては、出力されるタイムスタンプが UTC なので、タイムゾーンを設定する機能がないかなぁという点と、日本語文字列が以下のように化けるようです。 RecentDocs - recentdocs2 **All values printed in MRUListEx order. Software\Micr…

H. Carvey 氏*1が RegRipper Basic edition 2.0A をリリースされていますね。 http://sourceforge.net/project/showfiles.php?group_id=164158 Ripping the Registry w/ rip.exe http://windowsir.blogspot.com/2008/04/ripping-registry-w-ripexe.html レジ…

IE6 の Index.dat では「マイ コンピュータ」とかの文字列は CP 932 のパターンで記録されてます。*1 これが IE7 では UTF-8 になってるみたいなんですが、IE6 から IE7 にアップグレードすると、旧履歴情報を引き継いで Shift_JIS の文字列と UTF-8 の文字…

ukky3さんのところで知ったのですが、“情報セキュリティ心理学とトラスト研究グループ”というのがあるそうで。でもって、5月22，23日に研究発表会があるそうなのですが、一般の参加申し込み方法がよくわかりません（笑） 第41回 コンピュータセキュリティ（C…

よくわからんですが、formhistory.dat ファイルの先頭に mdb:mork と書いてあるので mork で検索してみたところ、そいうフォーマット？があるんですね。Perl から普通にデコードできるみたいですけど、これ文字コードは何使ってるんだろ... 参考URLのメモ ht…

検索してみたところ、Foundstone から DumpAutoComplete v0.7 というツールが提供されているようです。 DumpAutoComplete v0.7 Dump Firefox AutoComplete files into XML http://www.foundstone.com/us/resources/proddesc/DumpAutoComplete.htm ということ…

転職しました。

昨日書いた内容に間違いがあることを発見し、先ほど修正したのですが vssadmin list shadows で確認したシャドウコピーのセットが自分が作成したものと、復元ポイントで作成されたものとを見間違えていました...orz vshadowコマンドで作成した時のシャドウコ…

FilesNotToSnapshot レジストリに設定されている FVE が何の略かわからなかったのですが、BitLocker の Full Volume Encryption (FVE)を示しているんでしょうかね。

シャドウ コピー関連のレジストリでは「FilesNotToSnapshot」があり、これでシャドウ コピーの対象から除外するファイルを指定できるようです。 Excluding Files from Shadow Copies http://msdn2.microsoft.com/en-us/library/aa819132(VS.85).aspx Windows…

vssadmin list volumesコマンドで、シャドウコピーで利用するボリューム毎の最大領域と使用領域サイズの確認が可能ということで結果はこんな↓かんじ。 シャドウ コピーの記憶域関連付け "/For" ボリューム: (C:)\\?\Volume{8fb574fd-97b6-11db-8bb0-806e6f6e…

作成されたシャドウコピーへのアクセスのため、「以前のバージョンに復元」をクリックすると、SMB 経由でアクセスするのでフォルダのパスが自動的に管理共有配下として表示されるみたいですね。 \\localhost\C$\@GMT-2008.02.16-00.44.01 エクスプローラの表…

Vistaのヘルプには、「復元ポイントは、通常は1日に1回作成されます」という記述がありますが、具体的に何時に実行されるのかについては記述がないようです。 とりあえず、タスクスケジューラを起動して、それらしいタスクを探してみると『SR』*1というタス…