Windows 7 の ゲスト OS に、サイズ 1.1 GB の仮想HDD を追加し、システムの保護から保護対象のドライブとして設定。この段階では、このボリュームには特に何もファイルなどは存在していない状態となっており、ファイルシステムの内容を確認しても、System V…

FNG では参加者各自で解析を進めていったりするので、特定の人のPCだけプロジェクタに表示していると不便だったりします。 プロジェクタで表示している画面を、別の人のPC画面に切り替える時に、毎回わざわざ VGA ケーブルを繋ぎ変えているんですが結構面倒…

確か AVtokyo と日程が重なっている10月31日(土)の予定です。といっても午前中だし、個人的には参加できずに悲しいのでこのままの日程で実施する予定です（ぉぃ 聞きてぇフォレンジックのセッションとかがあるんだよぉーでも行けねぇ。。。orzFNG05 は予定し…

今回実験したボリュームはあまりデータもない領域なので、システム領域などではまた違うかもしれませんが、差分生成についても興味深いです。 シャドウコピー１が約300メガ程度ある状態で、新たにシャドウコピーを作成すると、シャドウコピー１のサイズが 25…

EnCase の PDE*1 や VDK などを使って、スナップショットが含まれるボリュームのイメージをマウントすれば、もろもろのツールが使えるのではないか？という安易な考えでいたのですがこれは駄目みたいですね。 とりあえず、VMware 上の Windows 7 のゲスト OS…

VMware 上に Windows 7 を用意して、追加の仮想ディスク上で VSS の動作を試そうと考えていたのですが、まずここでボリュームサイズによっては保護設定の対象ボリュームとして表示されないという点で躓きました。最初は小さいボリュームが欲しかったのでサイ…

今回は ボリューム シャドウ コピー サービス(Volume shadow copy service)を参加者の皆さんと共に、アーデモナイコーデモナイをやっていたのですが、下調べが不十分だったこともあり面白かったです（笑） 進行中のまとめなどは、下記で id:yumano さんがま…

参考資料になりそうな URL のメモ。日本語でフォレンジック関連の情報って id:nmantani さんのしか見あたらなかった。 ■基本情報 http://www.microsoft.com/japan/windowsserver2003/evaluation/demos/flash_animations/05vss.htm http://www.atmarkit.co.jp…

SQLite データベースファイルのレコード単位というか、レコードヘッダを grep でパターン定義して EnCase で検索してはどうか？と思ったのですが、これも駄目っぽいですね。 例えば以下の 3レコードがまずあります。 0E 07 03 15 1B 68 65 79 33 68 65 79 68…

これはボツネタではないんですが（笑）、UTC出力だと使いにくい！*1という文句を言っていた結果？、RegDog の出力で UTC 固定ではなく +9 とか指定できるようになったみたいです。 RegDog 0.8.4 http://d.hatena.ne.jp/mark-of-distinction/20091001/1254381…

SQLite データベースファイル内で、使われていない未使用領域の範囲を識別して、EnCase 上でその範囲をブックマークするか、未使用領域の範囲だけをまとめて一つのファイルとして抽出できないものかとあれこれ試行錯誤中です。 とりあえず、失敗したボツネタ…

最近、もろもろの場所で同じようなお話を聞いていたので思わず突っ込んでしまいましたけど、米国と日本では著作権法が違うので、会社がコンプライアンスとか歌っている遵守を宣言したりしている場合には、フリーという言葉だけで鵜呑みにしないで、少し気に…

いやぁ見事に英語圏の情報しかないですよね。まぁ日本語の参考情報は「ググレカス」ということかもしれませんけど、実際に検索してもたぶん日本語の情報って無いでしょうから、業界？のお寒い現実が見えるだけですかね。 まぁ英語圏に対してクレクレばかりな…

講師の人にえらくハードルを上げられていた感がありますが（笑）、自分の担当ではないので後ろの席の人に頑張ってもらう方向で〜す。メモリ内のデータというかタイムスタンプのタイムライン利用というのはなかなか興味深いところですので期待しています＞後…

このスライドと補足説明の構成はとても見やすくていいですね！、個人的には従来スライドの中に参考 URL とか入れても小さくて見えないのでアレだなぁとか思っていたのですが、このような書き方というか資料にしておけばいいですね。ぜひこのやり方は今後パク…

消毒というかワイプという点では、ランダムではなくてゼロワイプするほうがよいのではないか？という気がするのですが、まぁ DD イメージであればどっちでもいいんですかね。個人的には何か書かれているのが気持ち悪いという面もあり通常はゼロワイプしてい…

今回は sda でのデモだったので関係ないんですが ;-) Linux をブート CD-ROM などの OS として使うケースで、HPA は一時的に解除するツールが確かあったかと思うのですが、DCO を解除することってできるんですかね？＞Linux環境下 Windows PE ベースの商用起…

ddまたはdcflddを使う場足場合に、ブロックサイズを幾つで指定するかがエラー処理では影響が出る内容かと思います。dcfldd がデフォルトブロックサイズを幾つで読み込むのか知らないのですが、例えばパフォーマンスを上げる目的で大きなブロックサイズを指定…

昨日はデジタルフォレンジック研究会の技術分科会第三回「フリーツールを活用したディスクフォレンジック解析」を拝聴に行ってきました。 とりあえず、19時〜21時という個人的にはかなり遅い時間*1での開催時間には勘弁して欲しいところがあります。まぁ開催…