@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

2009-01-01から1ヶ月間の記事一覧

ヘッドホン

Fable 2 では字幕も出ますが、音声も聞きとる必要があるので、ヘッドホンを使ってました。で、手元ではその昔TAMAさんに教えてもらった SONY のMDR-Z600を使ってたのですが、耳あての部分というかのナイロンがボロっちくなってしまい、剥がれてきたので新し…

出張準備

着替えとか詰めないと。

ふぇいぶるつー

出張前に終わらせてしまおうということで、FABLE II を一応クリアしました。なんというか、善でも悪でもなく、クリア優先でやってしまいましたので全然クエストを解いてない気がするので、それらはまた今度気が向いたら挑戦ということで。 クリアしてもその…

後から確認メモ

(1)コマンドプロンプトなどから実行されたプログラムの引数が確認できるか?、Volatility Framework 用のプラグイン suspicious でいけそうな雰囲気があるけど、手元ですぐに動かないので後から再度実験するか HBgary Responder で確認。例えば hxdef100.exe…

クラッシュダンプファイルのコンバート

よく考えると、クラッシュダンプ ファイル(MEMORY.DMP とか)を RAW イメージにコンバートする方法ってあるのかを調べてない。Volatility Framework の dmp2raw(Convert a crash dump to a raw dump)コマンドでいけるみたい。Volatility Framework が MEMOR…

ひーぷとかすたっくとか

なぜか手元でこの hxdef100.exe のプロセスの heap とか表示しようとしてもうまくいってないのですが、それは手順が悪いのか、win32dd で取得したからなのか・・・orz hxdef100.exe の持っているデータ内容を調べることで、どんなファイルを隠そうとしていた…

怪しいから取り出してみる

さて、メモリ上で hxdef100.exe という怪しいプロセスを発見したとして、このプロセスというかを取り出してみたいと思ったのですが、残念ながら WinDBG だと簡単ではないんでしょうかね? ということで、Volatility framework には procdump(Dump a process…

WinDBG と rootkit

1/12 の勉強会で WinDBG の使い方なども教えていただいたので忘れないうちにメモしておこう。 とりあえず、VMware 環境に Windows XP Sp2 を用意し、古典的な rootkit ということで Hacker Defender をインストールする。これで INI ファイルに定義されてい…

プログラムのデータ

rootkit やマルウェアの解析とかでは“なく”、例えば Notepad.exe(メモ帳)を起動して、Hello とか書いてから、notepad.exe のプロセスメモリか、物理メモリをダンプ。このメモリイメージで ntepad.exe のメモリから Hello という文字列を WinDBG とかで探し…

ダンプ失敗

いやぁ何を失敗したかって、懇親会費を4500円くらいと書いてあったのですが、次回からは7千円とか財布に優しくない金額を予め書いておかないとダメですね(笑) ちなみに、私は昨日飲み過ぎてリアルにダンプしまくったあとだったので、少し控え目に呑んだん…

ダンプ

ということで、WinDBG を使いながら色々とお勉強してきましたが、OSの内部構造とか詳しく説明していただき、とても勉強になりました&とても面白かったです。第二回は隠ぺいされたものの解析とかが面白そうですね〜ということで、3月とか4月頃になるんですか…

今日のお題

今日は午後から色々ダンプしてみる予定なのですが、ダンプしたメモリイメージについて以下の点についてどこまで可能か色々テストできればいいなぁと考えています。 (1)サービスがオープンしているファイル/レジストリの状況 プロセスがオープンしているファ…

簡易インストール

12日の準備にVmwareでXPインストール中なのですが、最近は「簡易インストール」なるモードがあるんですね。先にプロダクトIDとか設定しておくと自動的にインストールしてくれる様子で便利ですね。 VMware環境上の XP で一時休止モードに入れるのかを確認した…

FABLE II

今年は、“にこやか(心穏や)”に仕事をしようと考えているのですが、修行が足りずなかなかそうできていないので、ストレス発散にゲームでもと思い Xbox 360で最近出たらしい FABLE II ってのをはじめてみました。このゲーム18歳以上でないとできないというこ…

Win32ddアップデート

win32dd がアップデートされ win32dd 1.2.1 がリリースされていますね。 Update: win32dd 1.2.1 http://www.msuiche.net/2009/01/06/update-win32dd-121/ Windows 7 でも動くんですか!、試せないけど。。。

メモリ空間の利用状況確認

VGA カードなどか利用しているメモリ範囲をデバイスマネージャで確認する方法とか書かれているのでメモ。 Pushing the Limits of Windows: Physical Memory http://blogs.technet.com/markrussinovich/archive/2008/07/21/3092070.aspx Memory Limits for Wi…

メモリ解析用のEnScript

まだ試してないのでとりあえずメモだけ。なかなか面白そうですよこれは! Integrate EnCase, Memoryze, and Audit Viewer with MemScript http://blog.mandiant.com/archives/80 後ろの席の人によると、対して面白くないスクリプトのようでした。別にEnScrip…

ハイバネーションファイルのコンバート

ハイバネーションファイルも、Sandman プロジェクトを使えばクラッシュダンプファイルへコンバートできるみたいですが、手元ではうまくいったことがない今日この頃。 Hibinfo.exe で試しているのですが、Error:Failed to open file. になってしまいコンバー…

ハイバネーションファイルに含まれるレジスタ情報

ハイバネーションファイルであれば、レジスタもあるのでそちらを使った方がよいのではないか?というお話がありましたので、ハイバネーションファイルに含まれているレジスタ情報には何があるのか調べてみたのですが、下記資料 P9 に説明がありました。 Wind…

SystemDumpツール

Memory Dump Analysis Anthology, Volume 1で紹介されているのと、昨日 LiveKD で参照した Citrix のサポート情報でも記載されているのですが、SystemDumpツールというものがあるのですね。このツールを利用すると、メモリダンプファイルを任意に作成するこ…

ダンプ本

id:sonodamさんのところで紹介されていた、Memory Dump Analysis Anthology, Volume 1、Volume 2 ですが、とりあえず Volume 1 をAmazonで注文したところ昨日届きました。見た目かなり分厚い本だなぁと思ったわけですが、パラパラ眺めた感じでは、これはなか…

クラッシュダンプファイルのサイズとRAMサイズ

確か OS がクラッシュダンプを作成する時は Pagefile.sys を使っていた気がしたのでちょっと調べていたところ、Wizard Bible vol.10 で関連する記事を見つけたのですが、搭載 RAM サイズでも影響があるケースがあるんですね。 2 GB 以上の RAM が搭載された…

稼働中システムでクラッシュダンプファイルを作成する

id:ukky3さんからコメントで教えていただいた LiveKD を利用する方法についてメモ。 とりあえず、Microsoft のサイトから Debugging Tools for Windows をダウンロードしてインストール。次に Sysinternal tools のところから、LiveKD をインストール(とい…

参考URL

洗い出しの人から、ここを読んでおけクマーと言われたのでメモ。m(_ _)m Crash Dump Analysis http://www.dumpanalysis.org/blog/

新春ダンプ祭り

遅くなりましたが下記内容で開催したいと思います。 日時:2009/1/12(月) 13:00〜17:00 場所:ネットエージェント株式会社 会議室 http://www.netagent.co.jp/company.html 内容:メモリダンプ演習(WinDBG) Windows に対応したメモリダンプツール(win32dd…

門外不出って英語で言うと何?

はなずきんさんの書かれた記事。 第2回 「門外不出」のセキュリティ系勉強会 http://jibun.atmarkit.co.jp/lcom01/rensai/zukin/02/01.html まぁ勉強会とかセミナーでお話された内容を参考に、実際に不正アクセスとかしちゃう人は最近はいないと信じたいとこ…

取得する範囲と探す対象

メモリイメージの解析でどこまでの情報をダンプするとより正確に調査が可能になるか?という点はあまり議論されているのを見たことがないのでそのあたりの話題も興味あるところです。 フォレンジック話を始めることにした。 http://d.hatena.ne.jp/xna/20090…

RAMイメージをクラッシュダンプにコンバート

mddやwin32ddでダンプしたメモリイメージを、クラッシュダンプ形式にコンバートすることができた気がしたのですが、どのツールが対応していたのかを失念...思い出した、Volatility Framework に含まれる raw2dmp ですね。 昨年末に試していて手元ではうまく…

ハイバネーションファイルからクラッシュダンプへの変換

ハイバネーションファイルをクラッシュファイルに変換してみようかと思い、とりあえず SandManSHELL beta-testing version を試してみたのですが、これまた手元ではうまく動かなかったり。 SandManSHELL Project http://www.msuiche.net/hibrshell/ XP Sp2 …

WinDBG環境の構築メモ

とりあえず、WinDBG なるものをダウンロード。32bit版と64bit版があるので、とりあえず32bit版を以下のURLからダウンロード。MSI形式のファイルになっているので、そのままインストールで、これは簡単に終了。 Windows 用デバッグ ツール: 概要 http://www.m…