@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

2009-10-01から1ヶ月間の記事一覧

次回のFNG06

そういや次回 FNG06 の日程決めてなかったんですが、11/7 は蕎麦なので、11/14 の“午後”*1からやろうかなぁと思案中です。何故かというと、その日は夜に呑み会があるから!!という大変身勝手な理由ですねハイ。テーマ的には NTFS でスパースファイルやら今…

画面とタブレット

そういえば、プロジェクタの切り替えについては RDP で飛ばすという案も Yousuke 氏から教えていただきましたが、RDP で飛ばすって Mac OS X な人とかも大丈夫なんですかね。まぁ切り替え機になる可能性が大だったりもしてますが、いずれにしてもケーブルを…

今日の不明点

途中でわからなかった点は、もっと詳しく!!ということでもろもろ若者に教えていただいていたんですが、Yosuke Hasegawa さんが言っていた何たらIOか、何たらブロックについてはきっとおじいちゃんでもわかる解説が今度あるものと期待。っていうか、単語が…

VSVファイルと稼動中のメモリダンプ

VSVファイルがファイル全体を初期化せずに使っているとすると、XP Mode の XP からメモリダンプしたりすると、その初期化されてないデータが読めちゃったりしないのか?というナイス(死語)な突っ込みがあり、XP Mode 上の XP で win32dd を実行してメモリ…

VSVとイニシャライズサイズ

この VSV ファイルですが、ファイル自体がすべて初期化して割り当てられているわけではなく、ファイルのサイズ分だけとりあえず(ホストOSであるWindows 7上の)ボリューム上で領域が確保され、使用領域だけは現在の XP Mode で利用されているデータが書き込ま…

VSVファイル

Windows 7 の XP Mode を起動すると、メモリ用のファイルと思われる拡張子 VSV ファイルが作成されます。ただし、別の Virtual PC 環境で実行した場合には VSV ファイルが(一時休止などしないと)作成されないみたいなので、Windows 7 の XP Mode で必ず作…

FNG05メモ

忘れないうちに気になっている点をメモしておこう。yumanoさんが Twitter に呟いてくれたのでそれをベースに思い出してみる...とりあえず今日の話題としてはイニシャライズサイトと VSV ファイルということでしょうかね。 VHDディスクはなんとかなりそうだっ…

今日は

世の中的には当日券の確保でもとても大変らしいと噂の AVTOKYO な日らしく、FNG 参加者でも行けないの自分だけという悲しい状況でしたが、きっと終わった頃の時間には寝ているので後から参加者に詳しく聞きたいと思います...orz

VSS経由のイメージ取得と時間

ライブフォレンジックなどにおいて、VSS スナップショットを dd.exe などでコレクションする場合には、そのサイズと時間経過について悩むことになる気がしています。 例えば 100GB のボリュームを、VSS のスナップショットを経由してイメージ作成すると、100…

Windows7関連

SANS Forensics Blogに、早速 Windows 7 に関連したフォレンジック調査への影響というか変化点についてがポストされています。 Windows 7 Computer Forensics http://blogs.sans.org/computer-forensics/2009/10/27/windows-7-computer-forensics/ 際だって…

仮想ディスクイメージの暗号化

まっちゃさん曰く http://d.hatena.ne.jp/ripjyr/20091028/1256666613 ACEでディスクイメージにAES暗号化がサポートとかフォレンジックには厳しい世の中になってきましたね。 VMwareの仮想ディスクファイルを暗号化するというお話みたいですが、管理者が暗号…

Volatility v 1.3.2リリース

Twitter 経由で知りましたので RT とか書こうかとも思いましたが、メモリ・フォレンジックツールの The Volatility Framework バージョン 1.3.2 がリリースされているようです。 Briefly: New Volatility Release http://gleeda.blogspot.com/2009/10/briefl…

FNG05参加者募集

今回は Windows 7 の XP Mode が主なテーマになりますが、VHD ディスクの構造解析なども行えればよいかなと考えています。メモリダンプ系はまったく試してないのでその辺りは動きをみながらということになるかもしれません。 http://www.port139.co.jp/FNG/F…

スナップショット利用順序に関する設問

問題: Windows 環境におけるライブ・フォレンジックにおいて、VSS を利用したスナップショットファイルを作成し、スナップショットファイル経由でボリュームをコレクションする場合、メモリダンプとスナップショットファイルの作成では、どちらを優先して作…

スナップショットの論理マウント

VShadow Tool を使うと、スナップショットファイルを論理ドライブとしてローカルでマウントできると Matt さんに教えていただいたので、早速試してみました。Vshadowツール自体は SDK に含まれているので、まずは SDK のダウンロードからやりましたけど... V…

メモリダンプ イメージの整合性

米国ではすでにどこかで議論された話題なのかもしれませんが、物理メモリのダンプイメージについては、最近気になっている点があります。 ファイルシステムのイメージを作成する場合、物理セクタ 0 から順番にといった具合にデータを読み込んでイメージファ…

FTKによるメモリ解析

FTK 3.0 から RAM Analysis 機能が搭載(強化?)されることに伴う営業活動の一環の記事だとは思いますが、メモリフォレンジック関係の記事が掲載されています。 The Importance of Memory Search and Analysis http://www.forensicfocus.com/index.php?name…

VSSは未使用領域も保護するか

Volume Shadows Copy を有効にしたボリュームにおいて、未使用領域(UnAllocated Clusters)も保護の対象となっているかを、Windows 7 の環境でテストしてみました。考え方として正確なのか少し疑問があるのですが、流れとしては以下になります。 1.テスト用…

エコとリモートでのフォレンジックツール

id:sonodam さんのところで、F-Response 関連の記事がリンクされていたのですが、一瞬全米各地に散らばっている端末の調査に F-Response が導入されたのか、WAN 越えとかはどうなんだろう?!と空目したのですが、記事をよく読むとそういうことではないって…

フラグメントされた画像のリカバリ

Forensic Focus を眺めていたら、興味深い画像のリカバリツールが紹介されていました。未使用領域などでフラグメントされている画像でもリカバリするための専用ツールみたいです。 Adroit Photo Forensics for Forensics Professionals http://digital-assem…

情報の収集

最近セキュリティ系の情報収集どうしてますか?とかも伺ったりしていたのですが、個人的には Twitter で関連方面をフォローすることで集めることが多くなってきている気がします。まぁ、90%以上はご飯とか寝るとかの話題ばっかりですが、まぁそれはそれとし…

絶滅危惧種

酔った話題でセキュリティ業界とかのお話も少ししていたのですが、『Jamesさんは絶滅危惧種でしょう』という暴言*1を吐いていたりしました。その昔一時期は James 氏がそれほど希少種ではなく他にも似たような種の人達がいた気がしますが、もう最近はすっか…

要素技術セミナーの打ち上げ

先日、会社と SPN さんとの共同開催で「Windowsフォレンジックのための要素技術セミナー」が開催されたのですが、講師をしていただいた塩月さんや James さんたちとの打ち上げが(遅ればせながら)昨日ありました。フォレンジック調査では Windows の基本的…

削除されたスナップショットの再利用 その1(ボツ)

テスト用のボリュームでシステムの保護を有効にし、スナップショットを作成します。テスト用のボリューム内にあるJPEG画像ファイルを幾つか削除。この段階ではスナップショットファイル内には削除されたJPEG画像ファイルの断片的な情報(変更があったブロッ…

VHDディスクの親子関係識別

仕様書(P5)に書いてあるのですが、忘れそうなのでメモ。 それぞれの VHD ディスクには Unique ID が設定されており、これは Hard Disk Footer Format に記載されています。フッタはファイルの先頭にもミラーされているので、ファイルの先頭部分でいくと、オ…

VHD差分ディスクのマウント

Windows 7 の XP Mode はデフォルトで、差分ディスクとしてユーザ用の VHD ディスクが下記パス上に作成されます。 ユーザー用の差分ディスク(デフォルト) C:\Users\ユーザー名\AppData\Local\Microsoft\Windows Virtual PC\仮想マシン\Windows XP Mode.vhd…

Hyper-V関連の書籍

VHD ディスクの取り扱いについて、Google などの検索結果では Hyper-V 関連の情報がよくヒットしてきます。以前セキュそばで id:wakatono さまに「Hyper-V ってなんですか?」というかなり大雑把な質問をして以来、相変わらず勉強してなかったので VHD 関連…

仮想アプリケーション

Windows 7 の XP Mode などでは、仮想アプリケーションという機能がり、仮想ディスクイメージ内にインストールされたアプリケーションをホスト側の Windows 7 で実行することができるみたいですね。 Windows7: Windows Virtual PC RC: 仮想アプリケーション …

VHDディスクの仕様

VHD ディスクについて Google で検索していたのですが、マイクロソフトからファイルフォーマットに関する仕様が公開されているんですね。RTF形式の文書がダウンロードできます。 Virtual Hard Disk Image Format Specification http://technet.microsoft.com…

EthSend

Twitter 経由でリリースされていたのは知っていたのですが、ご本人に使い方を聞いたのでメモ。 任意のイーサネット・フレーム(Ethernet II)を送信できるツール"EthSend"をPTRSで公開 http://d.hatena.ne.jp/EijiYoshida/20091013/1255454620 昨日、飲み会…