2009-11-01から1ヶ月間の記事一覧
先日のジンジャエールを飲み続ける会(違)で、NetWitness というツールの話題が出た中で、フリーで使えるのがあると教えていただいたので忘れないうちにメモ。*1 Download NetWitness Investigator Free! http://www.netwitness.com//products/investigator…
Fsutil sparse(http://technet.microsoft.com/en-us/library/cc788025(WS.10).aspx)を使うと、NTFSボリューム上でスパース(Sparse)というか疎ファイルというかを作成することができます。 NTFS Sparse Files (NTFS5 only) http://www.ntfs.com/ntfs-sparse.h…
Windows に標準で添付されている、FSUTIL(http://technet.microsoft.com/en-us/library/bb490642.aspx)ツールを使って、初期化サイズ(Initialized Size)があるファイルを作成するには、NTFSボリューム上で以下のコマンドを実行します。 C:\case\sparse>fsu…
FNG06 で exFAT の初期化サイズについても実験していたのですが、その後ちょっと確認してみた内容のメモ。 exFAT構造解析を参照しながら、exFAT の C0 レコードの状態を確認すると、ファイルサイズが2箇所、FileSize1とFileSize2に保存されていることが確認…
昨日開催されたジンジャエールを飲み続ける会(嘘)において、Mac OS X のファイル名の取り扱いについて話題に出たのでちょっとメモ。 Mac OS X では、ファイル名の文字コードとして Unicode(UTF-8)が利用されており、UNICODE 正規化による分解された状態…
今日は初期化サイズとスパースについて確認予定。午後からなのでちょっと下調べとメモを。exFAT にも初期化サイズの考えがあるんですかね、後からチェックしておこう。 Registry Settings for FATFS Disk Caching http://msdn.microsoft.com/en-us/library/a…
DEFT Linux ですが、Ver5 がリリースされているみたいですね。 DEFT Linux V5 http://d.hatena.ne.jp/ukky3/20091111/1257947026 http://www.deftlinux.net/ 今回 2タイプになる?んですかね、DEFT Vx5 ってのは後日みたいですね。
Mac OS X だと plist 形式のファイルを扱うコマンドが標準であるようですが、Windows 環境で手軽に扱えるものがないかなぁと思ったらありました。 Mac/iPhoneの.plist用「plist Editor for Win」/バイナリOK http://www.oshiete-kun.net/archives/2009/02/ma…
Forensic Focus の記事によると、Oxygen Forensic Suite 2010 がリリースされているそうです。新たな機能としては、iPhone OS 3.1, 3.1.1 and 3.1.2 への対応と、Android への対応が強化されているということみたいです。 Android の対応リストには DoCoMo …
ForensicsAQですが、幾つか typo などを発見いただき、修正しました。(一般のページは追加する項目があるので、後から修正が反映されますです) http://kikuz0u.x0.com/blog/?p=338 ご指摘ありがとうございまーす!、Wiki も案としてはあったのですが、単純…
その名も“JN勉強会”の資料が公開されていると教えてもらったので、さっそく拝見。 SMRAMメモリフォレンジック for JN勉強会 http://07c00.com/hiki/hiki.cgi?%C8%AF%C9%BD%BB%F1%CE%C1 次回はこっそりと参加させてもらおうかなぁ〜
ちょっと遠いので参加できなさげですが、12月05日 (土曜日)に第1回愛媛情報セキュリティ勉強会というのが開催されるそうです。メインのテーマとしてはフォレンジック方面みたいですね。 第1回愛媛情報セキュリティ勉強会 http://security-mikan.techtalk.jp/…
11月14日(土)の午後からになりますが、FNG06 を開催します。テーマとしては NTFS の2回目というか、NTFS における初期化サイズ(Initialized size)と、スパースファイルの取り扱いについて $MFT レコードの内容を中心に解析してみることを目的とします。 ht…
WiFiアクセスポイントを使って位置情報を取得する WPS(Wi-Fi Positioning System)を Google も提供してて、Android 携帯などでも使われている?みたいですね。 他にも WPS としては iPhone で利用されている Skyhook Wirelessess のサービスがあったりします…
前ふりが長かったんですが、取り出した SQLite データベースファイルの削除データ解析が今回の本題です。SQLite データベースにおいて、削除レコード・削除ページがどう扱われているか、ファイルフォーマットの超基本的な動きとかについての説明になります。…
Oxygen Forensic Suite には File Browser という機能があるので、ファイルシステムの中を(アクセス可能な範囲で)見ていくことができ、指定したファイルを取り出すことも可能です。このままDDイメージ作れないのかな?と思ったりもしますが... iPhone や Go…
iTunes 経由でデータを取得するツールは幾つかありますが、ファイルシステムへのアクセスが比較的容易なものとしては Oxygen Forensic Suite があります。 iPhone Forensics Centre http://www.iphone-forensics.com/ iTunes のドライバ経由ですので全てのフ…
Zdziarski Method とご本人が Web で書かれているので、そのように呼ばせていただくとして、この手法については下記 FAQ に概要が書かれています。 Zdziarski Method FAQ http://www.iphoneinsecurity.com/ 最初、てっきりジェイルブレイク(JB)する必要があ…
iPhone からデータを取得する方法としては、iTunes のドライバを経由して論理的なデータを取得する方法と、Zdziarskiメソッドというか、dd コマンドなどを使いファイルシステムを丸ごとイメージ化する方法に大きく分かれるかと思います。*1 現在 iPhone 対応…
iPhone のフォレンジックというと、まず押さえる必要がある代表的な書籍といえばJonathan Zdziarski氏(http://www.zdziarski.com/)の書かれた iPhone Forensics ですかね。めずらしく?薄い書籍ですが、iPhone のイメージ取得から中身の解析まで広く扱ってい…
基本的にセキュそば勉強会は、新ネタを披露する場として考えているので、まだ粗い内容だったりするんですが、今回は 2本ほどネタ披露の予定です。流石に 6本とかは無理ですけど(笑) 最近は見渡すと iPhone 利用者が多いのと、自分も iPhone 利用者なので、…
下記のセミナーでも説明がある RegDog ですが、ver 0.8.6 がリリースされています。かなり日本語化されてきているという噂がありますが、キーの説明が若干まだ不足していたり埋まってないのはまぁご愛敬ということで。 RegDog 0.8.6 http://d.hatena.ne.jp/m…
下記記事では、順番的には最初にフォレンジックシステムとか書いてあるけど、そもそもそれって何?というお話と、そんなの持っている会社がどの程度あるのか?という疑問が。 外部接続切ってパターンアップデートがされそうにないウイルス対策ソフトを後生大…
今回は“あおり”と書いてあるわりに、三輪さんにしてはおとなしめの内容だと思ってしまった自分は、すでに感覚が麻痺しているんでしょうかね。 第11回 犯罪者の「否認」に対応するには http://www.atmarkit.co.jp/fsecurity/rensai/talk11/talk01.html ログと…
で、昨日のお話の中に出ていたフラグですが、この辺りですかね。 Disk Scan for deleted entries http://www.ntfs.com/disk-scan.htm もう少し詳細なフラグの情報は、NTFS Documentation の P90 Table 4.22. File record flags とかに記載されていますが、FI…
テスト用の NTFS パーティション(8M)を作成し、dd コマンドで RAW イメージを作成し、中身を編集します。クラスターの割り当て状況は $Bitmap ファイルで管理されてますので、$Bitmap ファイルが利用しているセクタ位置を EnCase で確認しておき、バイナリ…
すでに夕方 5時ともなれば、体力・集中力ともに切れているので、発言がますます適当だという噂がありますが、NTFS におけるロストクラスターの扱いと、NTFS における MFT レコードの変化について話題になっていたので、後から確認しておこう。 というか、NTF…
先日の FNG05 の終了後、Yosuke Hasegawa氏から Windows の UserAssist キーについて興味深いお話がありました。 UserAsssit キーの中に、%csidl2% のように変数として値がある場合に、RegDog などのツールがどのように扱っているか?ということだったんです…
ファイルシステムにおけるタイムスタンプの分解能とか、ツールの精度によるかもしれませんが、サンプルの事例では secret.txt の Atime と cat の Atime は同時刻のため順序的にはアクセスされたファイルのほうが上に来ています。タイムラインを読む時はこの…
/etc/passwd とかは、システムも頻繁にアクセスするので、例えば不正アクセスの調査をするために〜とかで普通にログインすると、システムが /etc/passwd 読み込んで Atime が変化したりするのではないかという気もするんですが、それが不正アクセス者による…
