FNG02で使う予定のツールの正式なお披露目？は、以下のセミナーで予定しています。*1 このセミナーはセキュリティ・プロフェッショナルズ・ネットワークさんとの共同開催ということで、フォレンジック調査に必要となる Windows セキュリティの内側というか要…

次回の FNG02 は 9月5日のまたもや土曜日8時〜12時辺りでの開催予定です。テーマは「Registory-1」ということでレジストリになります。Windows 7 のレジストリ*1とかちょっと眺めてみようかなぁと思っていますが、あわせて RegRipper のマルチバイト対応とか…

従来「.」と「..」のパターン検索を行うことで、FATのフォルダエントリを探したりできましたが、exFATではフォルダ内のディレクトリエントリとして「.」と「..」がなく、直接 0x85 などのレコードが記録されています。ということで、Recover Folders...が使…

exFATではファイルが削除されると、ディレクトリエントリの先頭にあるタイプを示すバイトの最上位ビットがゼロクリアされるということです。ファイルが削除されたディレクトリエントリでは下記のようにディレクトリエントリの先頭バイトの最上位ビットがゼロ…

exFATのディレクトリエントリは、1レコード16バイト長、先頭バイトの値でタイプが示されており、一般的なファイルなどは、それぞれ 85, C0, C1 というタイプの順序で並ぶということみたいですね。 例えばこれはDesert.jpgというファイルのexFATにおけるディ…

Windows XP用に exFAT ドライバが出ているので、これをインストールすれば OK だと考えていたんですが、読み書きはできるけどフォーマットはできないんですね。パーティションを作成してフォーマットするファイルシステムの選択肢に exFAT がないという状況…

ファイルのアロケーション情報を追跡する仕組みとしては、FATテーブルも利用されているわけですが、とりあえず FAT テーブルはこんな↓感じですね。FAT32 と同じく 4バイトで一つのクラスタを示すみたいですね。下記パターンでいくと、赤字部分の4バイトがク…

今回の FNG01 でも、前回に引き続き以下の資料を参考にさせていただきました。 exFAT 構造解析 http://homepage3.nifty.com/k-takata/diary/exFAT.txt この資料をベースに EnCase で解析することで結構スムーズにファイルシステムの内容が理解できたのではな…

Bitmapファイルの仕組み自体はNTFSでも利用されているものになるかと思いますが、Bitmapファイル自体はこんな内容になっています。それぞれのビットがクラスタの割り当て状況を示していることになります。 FF FF FF FF FF FF FF FF FF FF FF FF 07 00 00 00 …

バイナリエディで見るとわかりにくいファイルシステム上の配置状況なども、EFのDISKビューで表示することで色分けされるので、なんとなくわかった気分になるのが不思議ですかね（笑） USBメモリの先頭セクタ（PS 0）パーティションテーブルを確認すると、ま…

前回 exFAT をテーマにした時には、フォレンジック系のツールで対応しているものが少なく、とりあえずバイナリエディタを利用してファイルシステムを追いかけたのですが、流石にちょっと大変だったわけです。当時はEnCaseもexFATに対応しておらず、現時点で…

インデックス型というか全文検索エンジンで、NOT条件を指定できるのがあると思いますが、NOT条件って最後につけるほうがいいんですかね？ 例えば「（フォレンジック AND 調査) AND NOT 日本」、とやるのと、「NOT 日本 AND （フォレンジック AND 調査）」と…

マガジンはさておき、この本をいま読んでいるところです。最近何しているの？という質問に『ドラクエ』以外で答えた内容で、某S講師からは“不毛な作業”っていわれたんですけど（笑）、仕事に関連してのお勉強ですね。キーワード検索がわかる (ちくま新書)作…

なんのこっちゃという話題かもしれませんが。「ポリシーで定義されている内容に即していると判断したので実施した」というのは普通に理解できるお話の気がします。ただ、ポリシーで定義されている内容が若干曖昧（グレーな部分）だったり、微妙な線だったり…

特に深い理由はないんだけど、FNGで基礎的な内容をやるのとは別に、次世代メンバーのプレゼンを聞いてみたいということもあるので、445のある日を狙って（被せて）裏番組勉強会でもやろうかなぁ（笑） 8/29の次は何時あるんだろ？、10月辺りにモバイル系のフ…

まっちゃさんに「なぜ139なのか？」という質問をいただいているのですが、ドメイン名を取得するに辺り、IHARAドメインも考えたのですが、電話とかで「(会社名)イハラの伊原です」と言うのがとてもわかりにくかったので、ドメイン名は別にして通称的に使おう…

セキュリティ&プログラミング キャンプの写真を時々見るのですが、自分が写っている写真*1を見て思ったのは、自分ではステガノグラフィはできないなぁということですかね。 バイナリ解析コースの担当授業では、今年も？ステガノグラフィの画像を課題として出…

すっかり鈍っている気がする今日この頃ですが、「log2timelineによるタイムライン解析」を拝見して、そういえばその昔 GUI でタイムラインを表示するツールあったなぁと思って検索。 Zeitline: a forensic timeline editor http://projects.cerias.purdue.ed…

キャンプ期間中の生徒の熱心さを目にして、“ドラクエばかりやっていてはいかんなぁ”と反省した！というのが表向きの理由。本当の理由？としては、11月にCF2というフォレンジックのトレーニングコースがあるんですが、それに向けて最近の事情などを調査したり…

30秒ルールが20秒ルールに変更となり（笑）、フォレンジックの勉強会*1とかもやろうと思ってますとか余計なことを言っていたために、超重要な『誰か川崎ロッカーの地図もってませんか？』と聞くの忘れてました...orz なんかキャンプ参加者はドラクエなんかや…

ということで、参加された生徒の皆さん、講師陣&チューター、事務局の皆さんお疲れ様でした。 バイナリ解析コースのチューターの皆さん、お世話になりましたm(_ _)m参加された生徒の皆さんは事務局から出された宿題を忘れずにやっていただくとして、またどこ…

FNG: AM 08:00 - 13:00 ・Windows XP / Vista (仮) 08/22 exFAT 09/05 Regstory(1) 09/19 NTFS(1) 10/03 INFO2 10/17 LNK 10/31 NTFS(2) 11/07 Regstory(2) 11/ UserAssist 12/ FireFox

今日は自由選択クラスのハニーポット コースでうろちょろしていたのですが、生徒が某ツール*1からの出力ログを見ていて、なかなか良い切り口だなぁと思ってみていたのですが、よく出力内容を吟味せず「システムアップデートかなぁ」と余計なことを言ってしま…

前回は講師の方に WinDBG の使い方などをご説明いただきながら実習していったのですが、事前の準備などを含めちょっと講師の方の負担が大きいのではないかと個人的には考えています。そこで、今回は事前にマルウェアか何かを動かしたメモリダンプイメージ（…

次は何時だ？という突っ込みがありましたので、そろそろ次回の計画を（笑） 前回の反省点として、講師の方の負担がかなり大きかった雰囲気があったので、もう少し事前の予習的なものがないと講師に申し訳ないような気がしていてなかなか第二回とか言い出せな…

夜の講師陣反省会？において、プログラミングコースでは生徒同士や講師とのコミュニケーション手段として、Twitterなどを使っているそうで、それによりシャイ（死語）な参加者にも発言が促せるようで、なかなか面白い取り組みですね。セキュリティコースは危…

生徒が持っているデバイス（iPodとかゲーム機とか携帯）でFATが使われているので、身近なところという意味と、構造が簡単なので手軽に試せるFATなんですけど、NTFSでもバイナリエディタだけで遊べるネタ作りが必要かなぁ。

今年は新たなボーナス問題として、クリンゴン語で書かれたメッセージがパスフレーズという課題を作りました。クリンゴン語をどう扱うかというか、クリンゴン語の見た目に騙されなければさらっと解けるかなぁという仕込みだったのですが、ちょっと終了時間が…

課題を解くのに必要なパスワードをどこかに仕込んでおかないといけなかったので、FATのロングファイル名のエントリとして書いておきました。（削除されているのでディレクトリエントリを検索しないと発見できないんですけど） FATのロングファイル名のエント…

課題のイメージファイルからファイルを抽出する部分でトラップをしかけていたのですが誰もひっかからなかったので解説するのを忘れていました（笑） Scan24 と同じく意図的にディレクトリエントリを改ざんしていて、ファイルサイズを“2009”とかそれっぽいフ…