予定では9月19日(土)だったのですが、三周忌の法事があることが発覚したので9月26日(土)に予定を変更しようと考えています。 いまのところの予定は 09/26 NTFS-1, 10/03 INFO2, 10/17 LNK, 10/31 NTFS-2, 11/07 Registory-2 ですけど、あくまで予定というこ…

その他にリストアポイント関連のお話とかで VSS とかいうお話が出ていた気がしないでもないですが、他の話題は iPhone しか覚えてなかったり（笑）

UserAsssitでは値の名前が ROT-13 でエンコードされているので、電卓の場合には calc.exe が pnyp.rkr になるんですけど、テストに使った電卓アプリケーションを探すのにまずちょっと手こずりました。21decodeにぜひ ROT-13 も入れて欲しいと思ったりしたわ…

実行回数 4バイトの次にある 4バイトが何か？ですが、id:ghetto2199説によるとアプリケーションのウインドウを最小化・最大化することで変化するということらしく、実際に地道に電卓アプリケーションを起動して、最小化・最大化を試してみた結果が以下です。…

Windows 7のUserAssistデータ（バイナリ値）の構造が変ったということで、具体的にどんなバイナリデータになっているのかを参加者の皆さんで調べてみました。 まず、従来は 不明 4バイト+実行回数 4バイト+日時 8バイトの合計16バイトの構造だったわけですが…

最近手元が iPhone 3GS になった*1こともあり、IPHONE INSECUTIRYとかみながら遊んでいるのですが、Oxygen Forensic Suite 2 がなかなかよさげな雰囲気です。 iPhone 対応となっているモバイルフォレンジック系のツールは幾つかあるのですが、Oxygen Forensi…

メモ 00 00 00 00 0F 00 00 00 35 00 00 00 68 AF 04 00 00 00 00 00 0F 00 00 00 35 00 00 00 24 B5 04 00 00 00 00 00 0F 00 00 00 36 00 00 00 24 B5 04 00 00 00 00 00 0F 00 00 00 36 00 00 00 F6 B9 04 00 00 00 00 00 0F 00 00 00 37 00 00 00 F6 B9 …

今週末に備えて色々と調べ物をしているところですが、Windows 7 の UserAssist キーは、ROT-13で文字列が保存されている点は同じですが、従来とはバイナリデータの内容が異なっているんですかね。 Update: UserAssist Tool Version 2.4.3 http://blog.didier…