2009-09-01から1ヶ月間の記事一覧
講師がいないタイプという点では FNG はその方向なんですけど、逆に参加者した人たちでどう進めていくのかという点では、模索中という雰囲気ですね。まぁ FNG にはおもてなしの精神などまったくなく、参加の敷居を下げる努力もまったくないので、まさに主催…
RegRipper を日本語環境へ対応させるべく隣の席な人が継続して開発中のツールですが、RegDog という名前になったんですかね? RegDog 0.8.3 http://d.hatena.ne.jp/mark-of-distinction/20090929 GUIも日本語化?されて、以前より使いやすくなっています。思…
前回に引き続き直前での募集になってしまいましたが、FNG04 の参加者募集になります。 FNG04 http://www.port139.co.jp/FNG/FNG04.pdf 今回は VSS というか volume shadow copy service についてを調べてみる予定です。まったく事前調査してないので、基本的…
まぁしかし、4時間も MFT レコードと睨めっこしていると疲れますねぇ。午前中なので血糖値を無理矢理?上げて集中力を維持する方法をなんか考えた方がよいかもしれないと思ったりしましたが、何がいいんでしょうね。
MFTレコード内にデータが保存される場合に、$DATA属性のサイズと実データサイズとが不一致になるケースがあり謎な現象となっていました。意図的にスラックを作成するテストをしていた M 氏により発見されたので M 現象と名付けられたのですが、$DATA の属性…
データ保存クラスタ位置を手動で確認するため、DataRUN とかも目視で確認して計算とかしていたのですが、3バイトとかで正負の計算とかするのが結構面倒だったという噂があります。 電卓ツールなどをダウンロードして試してみたりもしたのですが、以下のURLが…
以前のセキュそばの資料として TimeStomp を調べた時に $FILENAME 属性についても少し触れたのですが、資料置き場として使っていたサクラのレンタルサーバを解約しちゃったので PDF へのリンクが切れています(^^;; まぁ 2005年とかの資料で、Windows XP し…
Windows 7 でゴミ箱を空にするか、ゴミ箱内のファイルを削除した場合、MFTレコードのスラック領域がゼロで上書きされるようです。先ほどの Jellyfish.jpg 画像をゴミ箱に移動した段階では、MFTレコードのスラック領域に長いファイル名の痕跡が残っていました…
まず Jellyfish.jpg のMFTレコードを、HighlightSpecificMFTRecordのEnScriptを使ってブックマークして内容を確認。以下、$MFTファイル内のレコード番号(FileIdentifier)38番*1の内容をEnCase上で表示したところ。 46494C4530000300EC3F100000000000 FILE0..…
セキュそばのネタにしようかと考えている内容を社内でレビューしてたんですが、先日ここに『昼間のネタはまぁいいとして、問題は夜のネタの仕込みをどうするかだなぁ』と書いたのを読んだ後ろの席の人からこんな質問が! 夜のネタって下ネタですか?! 違い…
今日の FNG03 でちらっと話題になった、WindowsIR Blog での ProDiscover 6.0 での VSS 対応に関する記述(Linkity-Link)をちょっと製品ページで確認しましたが、以下のページに情報がありました。 http://www.techpathways.com/DesktopDefault.aspx?tabind…
10/03 INFO2 でしたが、今回 NTFS でゴミ箱関連だったので FNG04 では VSS に挑戦してみようかという方向になっています。
1. 短いファイル名しか持たない場合には、MFTレコードが 30 では上書きされるので元ファイル名は残らないが、長いファイル名を持っている場合、MFTレコードのスラック領域内に長いファイル名属性の残骸でファイル名が残されている場合がある。 2. ファイルが…
ということで、コメントいただいた内容によると宿ではイーモバ入らないということなんですが、よく考えたら泊まったことあるんぢゃね?*1>自分 そしてタイミング悪く?ウイルコムは解約済みだったりするんですが、まぁいっか。 *1:料理のコース選択で思い出…
あれ?“セキュ”だっけ“せきゅ”だっけ? 第 一六 回 〜戸隠〜 http://secusoba.info/index.php?%E7%AC%AC%E4%B8%80%E5%85%AD%E5%9B%9E%EF%BC%8811%E6%9C%887%E6%97%A5%EF%BC%89 確かに蕎麦喰うことと、泊まる宿屋の情報しかないところが凄いかも(笑) 後ろの…
日本語で解説してあるページがないものか探してみたのですが、なさげな雰囲気ですかね。 とりあえず参考になりそうなURLのメモ。FireFox 系の資料は色々と見つかるんですけど、だんだん本来の目的からずれていっている気がする。 SQLite Database File Forma…
ということで?FNG03 に参加希望の方は下記参照ということでお願いいたします。*1 FNG03 参加者募集 http://www.port139.co.jp/FNG/FNG03.pdf FNG03 では NTFS というか MFT レコードの辺りを見ていくことを考えています。Windows Vista/7 ではゴミ箱の管理…
闘うプログラマー[新装版] を読まれた方はなぜドッグとかいう言葉が出てくるのかご存じだと思いますが、まぁルーツ的にはこの本になります。 隣の人「不具合なおしましたよ」 私「カトラーがみても怒らないレベルになってる?」 隣の人「カトラーがみたら怒…
レポートファイルは UTF-16LE で出力されますので、Notepad.exe か Unicode が扱えるエディタを利用してください。 Launching RecentDocs plugin v.20080418 RecentDocs - recentdocs All values printed in MRUList\MRUListEx order. Software\Microsoft\Wi…
基本的には本家と同じですが、実行環境に Microsoft .NET Framework 3.5 以上のインストールが必要になります。詳細は Readme.txt に記載されていますが、SAM・SECURITY のプラグインがまだ使えません。*1 Windows XP/Vista のレジストリで検証していますが…
ご存じの方も多いとは思いますが、フォレンジック調査で使えるレジストリの解析ツールとして、RegRipper というツールがあります。 本家 RegRipper では、プラグインファイルによってはレジストリ(キーまたは値)に含まれている日本語文字列が化けてしまう…
古いバージョンだと24時間制限(再起動がかかる)という記載があったのでてっきり24時間だと思っていたのですが、最近のバージョンでは「72時間」になっているんですね。 http://technet.microsoft.com/ja-jp/library/dd799308(WS.10).aspx 海賊版オペレーテ…
おきしじぇんではないツールですが、JB してあると root へのアクセスも可能なんですかね。*1Windows 版はないみたいなので、いよいよ Mac OS の出番なのか? PhoneView The desktop companion for iPhone and iPod Touch http://www.ecamm.com/mac/phonevie…
DataBaseを使っているアプリケーションに依存するみたいですが、とりあえず関連URLをメモ。 SQLite 3 database files - Identifying Deleted Data*1 http://www.simplecarver.com/exchange/articles/article-5.htmlSQLite Diff (\2412) http://www.sqlited…
取り出した sms.db ですが、そろそろ Mac Book に入っている Mac OS X の出番なんぢゃね?!という心の叫びを無視して、Windows 版の GUI を探してみると、あるもんですねー素ー晴ーらーしーいー 「SQLite」のデータベースをGUIで操作できる高機能管理ソフト…
評価版の段階でも e-mail が読めてなかったので変だなぁと思っていたのですが、どうも iPhone 側のバージョンなどに依存するようで、サポートに確認したら 3GS にはまだ対応してないよーということでした。。。orz SMS が読めることは確認できていたのですが…
前回 9/5 の FNG02 時点では最新版のモジュールでも iPhone 3GS の認識ができなかったOxygen Forensic Suite 2ですが、その後もサポートとやり取りしていたところ、今週の木曜日辺りに提供されたアップデートでやっと認識しました。いやぁもう途中で飽きてき…
Forensic Focusのフォーラムで RegRipper の出力結果を確認する手法について話題になっているみたいですが、フォレンジック調査で使えるレジストリのパースツールとして RegExtract というツールが提供されているみたいですね。 RegExtract http://www.woany…
関連URLメモ ディスクのパーティション・テーブルを調査する http://www.atmarkit.co.jp/fwin2k/win2ktips/365diskpart/diskpart.html Knowhow Software Tool [ W2KSGN ] http://hp.vector.co.jp/authors/VA012947/w2ksignature.html
id:ukky3さんのところで、Windows FE ではライトブロックが不十分(フォレンジカルサウンドではない)的なお話について詳細が解説されているのですが、なかなか興味深いですね。 Windows FE (Forensic Environment) http://d.hatena.ne.jp/ukky3/20090902/12…
