2009-02-01から1ヶ月間の記事一覧
会社が移転ということで、今の四谷三丁目から一駅お隣の新宿御苑に引っ越しです。3分くらい通勤時間が長くなるようですが、新宿御苑の駅を出てすぐらしいので、駅には近いみたいです。このビルなのかな? 月曜日から新しいオフィスなのに場所をよく知らなか…
文字化けとかとは違いますが、インデックスを作成するケースでは、全角と半角混じりのパターンがどう処理されるか確認しておいた方がよいかもしれません。 例えば「Forensics」のように前半は全角英数で後半部分が半角英数のようなパターンとか、全角英…
添付ファイルとして、リッチテキストファイル(RTF)を試すケースでは、複数種類のツールを使って RTF を生成するほうがよいですかね。Notepad、ワードパッド、Word、OpenOffice とか。
「修正箇所とコメントは赤字にしてあります」と言われても、手元のメーラでは黒字しかなくて悲しい思いをして以来、Outlookを使うようになりましたが・・・
Shift_JISの2バイト目に区切り文字列と同一パターンが含まれているケース。 「能力」を Shift_JIS(CP 932)の 16進数パターンで表現すると「\x94\x5C\x97\xCD」となる、円マーク記号(\) \x5c が含まれる文字列が Subject や添付ファイル名に含まれるケース…
なかなかお目にかかることがない気がしないでもないですが、Unicode サロゲートペア文字を含むケースもテストしておいた方がいいですかね。文字列の検索時にサロゲートペアが考えられてないか、サポートされておらずヒットしないケースとかありますね。
使わないのがマナーというのはすでに過去のお話なのかもしれませんが、よく見かける丸付き数字の?とか、?などの文字列。化けるというよりは違う字形で表示されるというだけかもですが。 参照:利用者:Suisui/機種依存文字テスト
Base64 と UUENCODE 辺りですかね。どちらかというと、添付ファイル名に、だめ文字が含まれるとか機種依存文字があるケースで添付ファイル名の表示に問題が発生するケースとかがありますかね。
Windows のコードページでいくと、50221(半角カナを含むJIS)、65000(UTF-7)、65001(UTF-8) りをテストしておけば最近はOKなんでしょうかね。念のため 932 とか 51932 なケースもやっておくと安心かもしれません。 主には 50220 でOKな気がしていたので…
電子メールの題名(Subject)がとても長いケースだと、MIMEエンコードした場合に複数行に分かれることになります。このときツールが複数行に対応していない?と、電子メールの Subject が途中で切られて表示される現象にでくわすことがあります。 Openmya MLと…
コンピュータのフォレンジック調査で使うツールは基本的に海外製品ばかりですので、日本語文字列の取り扱いが時々アレだったりします。最近は Unicode でなんとかなるようになりつつありますが、製品のQA部隊から「何をテストしておけばいいのか?」とか急に…
以前は結構 Windows のパスワード ハッシュ(NTLM、LANMAN)に関する資料が Web 上にあった気がするのですが、いざ探すとよさげなのがありませんね。探し方が悪かったらしい。 第9回 人の造りしもの――“パスワード”の破られ方と守り方 http://www.atmarkit.co…
メモリイメージファイル内の SAM レジストリからハッシュをダンプするには、hashdump コマンドを使います。すでに SYSTEM と SAM ハイブの仮想アドレスを入手できているので、それらのオフセット位置を指定します。今回のイメージでは -y 0xe1018370 -s 0xe1…
まず hivescan を実行し、ハイブのオフセット位置を確認します。コマンドラインとしては以下になります。 volatility hivescan -f RAMイメージファイル名.dmp 実行するとオフセット位置が表示されます。手元では VMware上のWindows XP Sp2(メモリ 382M)で…
volreg-0.2.zipファイルを展開すると、forensics,memory_objects,memory_plugins の三つのフォルダが作成されます。それぞれのフォルダにあるファイルを、Volatility-1.3_Beta配下にある該当フォルダ配下にコピーします。プラグインを認識しているかどうかは…
メモリフォレンジック ツール Volatility Framework のプラグインとして、メモリイメージ内に存在するレジストリを確認できるものがあります。このプラグインを使うと、win32dd などでダンプした物理メモリイメージファイルに含まれるレジストリを確認するこ…
動かすにはモジュールとして PyCrypto が必要ということなんですが、このモジュールどうやらコンパイルが必要な様子。コメント欄によると、コンパイル済みのWindows用バイナリが下記URLにあるということで、Python 2.6用のバイナリをダウンロード。 PyCrypto…
Office 2007の文書ファイル docx,xlsx,pptx などは、パスワードを設定せずにそのまま保存した場合には、ZIPファイルの形式になっています。*1ただし、「Office (2007) Open XML ファイル形式の概要」には以下の記述がありパスワード付きのZIPの形式は作られ…
ZIPファイルやOffice文書ファイルにはパスワードを設定することが可能ですが、フォレンジック調査などでパスワード付きのファイルを探したい時があります。EnCaseでは標準のスクリプト機能としてCase Processor =>Infomation Finders =>Find Protected Files…
早いもので2009年3月末でEnCEの更新期限になります。従来は2年間で更新だったのですが、昨年末に改定があり3年毎の更新になったようです。改定に気がつかずに古い条件の64時間の受講をクリアすべく米国出張してきたわけですが、まぁ勉強になったのでよしとい…
うちの会社って2008年11月から HBgary のトレーニングのパートナーシップ取っているんですよね。その関係で、今のところ6月に開催予定らしいのですが、日本でメモリフォレンジック的なトレーニングが予定されています。 Windowsライブメモリー・フォレンジッ…
結局、一度善人でクリアしてしまうと悪のクエスト?を出すのが大変そうなので、2週目は最初から悪人でやっているんですけど、悪人で通すのもなかなか面倒です。ステータスが悪ではなく「勝手気まま」となってしまうのはなぜ・・・ 英雄だってたまには悪いこ…
有償のトレーニング(3日間)ですが、2009年4月22日〜24日に開催されます。 http://www.ji2.co.jp/training/ データリカバリートレーニング 日程:2009年4月22日〜24日9:00〜18:00 会場:株式会社Ji2 新宿区新宿1-9-5 大台ビル 3F 参加費: 300,000円 コース内…
2週間ほどトレーニング*1で米国(ロサンゼルス)出張に出ていましたが、無事?日曜日に戻ってきました。月曜日は時差ボケ解消で休んで今日から出勤という感じです。 今回の出張では、到着早々あまり天気がよくなくて、雨とか降って寒かったです。しかもトレー…