設問： インシデント・レスポンスの初期対応として、レジストリキーの情報を reg query コマンドで取得する手順を考えた場合、どのタイミングで実施するのが適切か、揮発性の順序も考慮して答えよ。なお、メモリダンプも初期対応手順に含まれている前提とす…

メモリ内のレジストリデータかなぁなどと考えていたら、後ろの席の人が新たな EnScript を公開していました EnCase EnScript "Memory Forensic Toolkit" その１ http://cci.cocolog-nifty.com/blog/2009/10/memory-forensic.html#more スクリプトは調査ツー…

HKLM\SYSTEM\ControlSet001\services\VSS\Diag\VolSnap キーですが、電源断（シャットダウン）してから、オフラインでレジストリをマウントして該当キーを確認すると、VSS\Diag まではキーが存在するのですが、VolSnap キーが見あたりません。 シャットダウ…

引き続き Windows 7 の VMware 環境で、レジストリファイル内で VSS に関連するキー情報について確認してみたいと思います。 テスト環境には C ドライブと F ドライブがありますが、まずはシステムの保護を有効にしておき、vssadmin でボリューム情報を確認…

PC1に接続されたボリュームA（スナップショット有り）を、PC2 に接続してもそのままではボリュームAのスナップショットを識別することができません。レジストリの動作を見ていると、なんとなく関連するキーにボリューム ID が入っていれば後は認識してくれる…

Windows 7 で VHD ディスクを作成し、この VHD ディスクに対してシステムの保護を有効にしてみたのですが、スナップショット作成段階で以下のエラーが表示されてしまい、スナップショットが作成できないようです。 次の理由により、復元ポイントを作成できま…

Windows 7 では VHD ディスクのマウント時に「読み取り専用」というチェックボックスがあるわけですが、これがどこまで読み取り専用なのかが気になります。先ほどは「読み取り専用」で VHD ディスクをマウントしてみましたが、まずマウントを解除（切断）し…

よく考えたら Windows 7 からは VHD ディスクを標準機能からマウントすることができるんですよね。 Windows 7の仮想ハードディスクがスゴイ！―（1） http://www.computerworld.jp/topics/win7/151010.html コンピュータの管理にある「VHDの接続」を選択する…

はなずきんさんとこの情報によると、Windows XP で VHD イメージをマウント可能なツール Gizmo Drive とかあるみたいですね。検索してみた感じだと他にも色々とあるみたいですね。 Windows XP と Vista では VSS の取り扱いが違う（互換性がない）ので、VHD …

さて、Disk2vhd で作成した .VHD ディスクを EnCase にドラッグアンドドロップで放り込んで*1、変換元のディスクとの差異を確認してみます。 変換元ボリュームには、幾つかの削除ファイルが存在している状態にしてありましたので、これがどうなったのか確認…

上記 URL の説明書きでは、以下の記述があります。 It preserves the partitioning information of the disk, but only copies the data contents for volumes on the disk that are selected. なんとなく、データ領域のみコピーという雰囲気ですが、実際の…

kjm先生のところなどで知ったのですが、Sysinternalsのツールとして Disk2vhd というツールがリリースされています。 New Tool: Disk2vhd v1.0 http://blogs.technet.com/sysinternals/archive/2009/10/07/new-tool-disk2vhd-v1-0.aspx http://technet.micro…

ということで？昨日書いていたレジストリキーに対応していただいたバージョンがリリースされています。 http://d.hatena.ne.jp/mark-of-distinction/20091008/1254993730 主にはNetworkList\Profilesキーとへの対応と、NetworkList\Nla\Cacheキーの読み取り…

この様なツールがあるということを教えていただく。m(_ _)m*1 Windows ディスク保護機能を使用する http://www.microsoft.com/japan/windows/products/winfamily/sharedaccess/support/windowsdiskprotection.mspx 元に戻すという点では、VSS とかと似た様な…

前述の SANS の Webcast で触れられている内容ですが、Windiws Vista 以降では、以下のキーに関連する情報が保存されています。RegRipper のプラグインだと今のところ引っ張ってこない？気がするので、RegDog でも現状はこれらのキーに対応してないかと思い…

日本時間的には昨日の19時30分から、SANS の Webcast で表題のセッションがあり、JAVA をインストールして拝聴していたのですが、なかなか興味深い内容でした。 Special Webcast: Windows Forensic Analysis: Dissecting the Windows Registry https://www.s…

一般的にはまったくその様な必要性はないと思うのですが、VMware 環境で仮想ディスクに意図的にエラーセクタを発生させることって簡単にできるんでしょうか？ 何がしたいかというと、任意の位置とサイズでエラーセクタを作成して、ddとかのツールでのエラー…

タイムスタンプ自体は容易に変更が可能ですし、アンチフォレンジックツールとしては Timestomp があります。Timestomp は意図的に $FILE_NAME 属性のタイムスタンプはそのまま残して $SIA のみ変更してくれますが、$FILE_NAME のタイムスタンプとかまで引っ…

EnCase でしか使えませんが、64bit タイムスタンプ値を検索する EnScript などもあります。 Search for Windows 64 bit TIMESTAMPS http://www.forensickb.com/2008/01/search-for-windows-64-bit-timestamps.html 指定した時間範囲にあるタイムスタンプと考…

記憶が定かではないのですが、確か TCT の出力で body ファイルを作ることになっていて、後から開発された TSK なども、その歴史的な経緯から body というファイルを引き続きタイムライン情報の出力用ファイルとして使っているということでしょうかね。 そも…

NTFS 代替データストリーム（NTFS Alternate Data Streams ）のデータにはタイムスタンプがありません。メインストリームのファイルについてはタイムスタンプがありますが、追加ストリームにはタイムスタンプ情報などが無いので代替データストリームにあるデ…

以前に書いてありましたので、こちら参照ください。 http://d.hatena.ne.jp/hideakii/20070617 このファイルシステム トンネリング機能と同じようにタイムスタンプを維持する機能が、Linux 系のファイルシステムでも存在していると思ったのですが、何という…

ext2fsなどでは、MAC 以外のタイムスタンプとして Dtime も存在しているかと思います。使われているのかよく知らないのですが、The Sleuth Kit などを使っていると、ext2 ファイルシステムで Dtime の値が表示されてくることがあると思うので、値としては入…

FAT・NTFSの分解能はプラットフォーム SDK GetFileTime で下記のように説明されています。 注意 すべてのファイルシステムが、作成時刻と最終アクセス時刻を記録できるわけではありません。また、すべてのファイルシステムがそれらの時刻を同じ形式で記録し…

NTFSでは最終アクセス日時の分解能が1時間となっています。これは、1時間以内の同種のアクセスについては最終アクセス時間を更新しないというパフォーマンス向上を目的としたものになります。最終アクセス日時の更新基準については、以下の記述が参考になり…

FAT ファイルシステムの場合、ディレクトリエントリの構造としてそもそも最終アクセス日までしか記録されていません。ディレクトリエントリでは最終アクセスに関しては時刻がそもそも記録されてないので取れないということになりますが、ツールによっては便…

Windows における“作成日時”は、ファイルシステム上でそのファイルが作成された日時を示していて、純粋にそのファイルが作成された日時とは異なります。ファイルがコピーや移動されたりした時に、異なるファイルシステム上に新たに作成されるとその作成日時…

フォレンジック調査ではよく耳にすることが多い MAC time や timeline というお話ですが、原典が何かはよく知らないのですが、私が勉強を開始した頃の資料としては、The Coroner's Toolkit (TCT)*1 でのお話がメジャーでした。あれ？確か TCT ツールキットの…

会社では14時頃から気分転換をかねた勉強会？とかしているのですが、最近 Timeline 系の話題がよく出るので、MAC time のおさらいをかねて、古典芸能な内容をメモ的に取りまとめ中。*1突っ込みとかコメントなどありましたら大募集ということで ;-) *1:個人的…

保護対象のデータに変更が発生した場合に、VSS がどこまでの範囲をスナップショットとして保存するかですが、（元ネタ失念）16KB（16,384バイト）の範囲をシャドウファイル内に保存するみたいですね。 例えば、コアラのJPEG画像ファイルの先頭部分はバイナリ…