隣の席な人にビルドしてもらって、Windows 7 でテスト中。忘れないようにちょっとメモしておこう。 c:\temp>WSSQL.exe "select System.Kind, System.ItemUrl, System.ItemName FROM SystemIndex WHERE CONTAINS('Port139')" Query=select System.Kind, Syste…

Windows 7 の fsutil コマンドを眺めてて今頃気がついたんですが、Windows Vista 以降では Pagefile.sys を暗号化することができるんですね、全然知りませんでした。 C:\Windows\system32>fsutil behavior query EncryptPagingFile EncryptPagingFile = 0デ…

キャラバン東京 LT でいただいた質問の中に、VSS は FAT ファイルシステムでも使えるのか？というご質問があったと思いますが、ちゃんと確認していなかったので確認。FAT32 でフォーマットした 1.2GB のボリュームをシステムの保護で確認してみましたが、対…

昨日の LT で“HomeでもVSSが使えるのか？”というようなご質問があったので Home Basic エディションを VMware環境に入れてみました。とりあえず vssadmin list shadows コマンドを管理者権限で実行してみると、スナップショットが表示されたので使えるみたい…

昨日、「ぷりはっしゅ」ツールについて立ち話をしてる中で、Windows 7 の Notepad.exe がハードリンクされているという話題が出ていたので確認。Windows NT の頃からではないかと思いますが、Notepad.exe は Winodws フォルダと windows\system32 フォルダの…

Windows 7 & IE8 でテストを行っていたのですが、通常のインターネットサイトを閲覧している場合には保護モードによりキャッシュフォルダは以下のパスになります。このあたりの動作は InPrivateモードかどうかに関係なく保護モードの動作（整合性アクセスレ…

IE8でInPrivateモードの起動ですが、メニューにある「セーフティ(s)」を開いて、「InPrivateブラウズ」を実行するとアドレスバーとタイトルにInPrivateと表示されてIEが起動されます。 この状態でまずタスクマネージャでプロセスを確認してみたのですが、ア…

昨日の FNG08 は、初の？会場組とリモート参加組での開催形体による実施でした。リモート組への会場組の参加者PC画面を配信するあたりはちょっと検討事項になりそうな感じでしたが、途中手元のPC画面が真っ黒になって音声によるマウス操作が必要になったこと…

他社がコレクションした証拠ファイルかイメージから抽出したファイルが破損しているので、オリジナルからコピーし直して送ってくれないか？という問い合わせが米国から入る。そもそも他社がどうやってコレクションしたのか、ファイルをどう抽出したのかが不…

今週末 12月19日（土）開催の FNG08 の参加者募集を行ないますので、ご興味のある方は下記を参照のうえお申し込みくださいませ。 今回は IE8 の InPrivate 機能についてですが、どこまで揮発なのかとか、InPrivateモードか否かの確認方法など基本的なところ…

OS 標準コマンドとして ESENTUTL なんていうコマンドがあるんですねぇ知りませんでした。ダンプも可能なようなので少し触ってみているところなのですが、とりあえず EDB ファイルのヘッダ情報を取得してみたところ↓です。わざわざバイト列を見て確認しなくて…

遅ればせながら？、EseDbViewer をダウンロード&インストールし、Windows 7 の Windows.edb をオープンしてみたのですが、ページサイズが合わないというエラーで開くことができませんね。 EseDbViewer ではページサイズとして 2048〜8192 までが選択できるの…

後ろの席の CCI な人が、12月4日に開催したセミナー資料に関連してフォローアップをポストしています。セミナー資料はこちらで公開されていますが、本人曰くカーネル方面とかに詳しい方からのコメントを希望！ということです。 Not Present, but Transition/…

セキュリティ＆プログラミングキャンプ・キャラバン東京が、12月23日（祝）10:00〜17:10 で開催されます。ライトニングトークで時間いただいたので、一つちょっとしたネタをやる予定です。 セキュリティ＆プログラミングキャンプ・キャラバン 2009 東京 http…

ひょっとすると、“れじ”ではなく“れぐ”なのかもしれませんが、レジストリキーに保存されている最終更新日時を表示するコマンドラインツール(regtime)を作成されたそうです。 レジストリのタイムスタンプを表示するためのツールを書いた http://d.hatena.ne.j…

よくよく検索すると、Forensic Focusのサイトで関連スレッドがありました。 Windows.edb file for indexing searches http://www.forensicfocus.com/index.php?name=Forums&file=viewtopic&t=3067 このスレッドでも昨日発見したいくつかのツールが示されてい…

Windows 7がインデックス対象としているファイル種類の一覧がないものか調べているのですが、古そうな情報しか発見することができません。 What Is Included in the Index http://msdn.microsoft.com/en-us/library/bb266513(VS.85).aspx The Indexing Proce…

12月4日(金)に開催された会社のセミナー資料が公開されました。それぞれの資料は下記ページのリンクから辿ることができます。 コンピュータフォレンジクス技術解説 無料セミナー http://www.ji2.co.jp/forensics/seminar.html http://www.ji2.co.jp/forensic…

インデックスを作成するファイルの種類は、インデックスのオプション画面から、詳細設定のファイルの種類で関連付けが行われています。インデックスの種類としては二つ、１：プロパティのみインデックスを作成する、２：プロパティとファイルのコンテンツの…

Windows 7 のインデックス機能がかなり速くなっているそうで、デフォルトが有効なこともあり少し内容を確認したのでメモ。 速くて使いやすくなった、Windows 7の「検索」 http://ascii.jp/elem/000/000/429/429657/ インデックスファイルはシステムに共通で…

Googleデスクトップ検索に関する資料 Google Desktop Search as an Analysis Tool: An overview of how VMWare and Google Desktop Search can be leveraged to analyze the GDS cache on a suspect system. Chris Poldervaart, November, 2006 https://comp…

Windows Search Features http://technet.microsoft.com/en-us/library/dd744686(WS.10).aspxComplete List of Windows 7 Search Scopes http://technet.microsoft.com/en-us/library/dd744686(WS.10).aspx#WS_SearchScopesAbout Filter Handlers in Windows…

デフォルト設定では Tiffファイルについてはプロパティ情報のみがインデックスされています。追加の iFilter 設定を行うことで Tiff コンテンツについてもインデックスを作成させることができるみたいですね。日本語とかがどの程度拾えるのかが興味あるとこ…

Windowsデスクトップ検索のインデックスに対応しているフォレンジックツールとしては、以下の製品などがありますが、他にもまだあるかもしれません。 Windows Search Index Extractor http://www.simplecarver.com/tool.php?toolname=Windows%20Search%20Ind…

広範囲に Winodws 7 に関連した情報がまとめられています。 First Look at the Windows 7 Forensics http://www.scribd.com/doc/22907940/First-Look-at-the-Windows-7-Forensics 次回の FNG からは IE8 を調べようと考えているのですが、Windows 7 の検索（…

ってこれ？なんですかね。米国特許庁のは調べ方がよくわからないので Google の特許検索だとこの資料がそれっぽく見えますね。 EXTENSIBLE FILE SYSTEM http://www.google.com/patents/about?id=91jJAAAAEBAJ&dq=microsoft

Twitterのつぶやきで知ったのですが、月刊アスキードットテクノロジーズ 2010年1月号では、「最新ファイルシステムの機能と特徴」という内容が組まれているということで、さっそく注文してみました。 UNIX系では ext4 や ZFS などの解説もあり、なかなか興味…

昨日はコンピュータフォレンジクス技術解説セミナーの第一回が開催されたのですが、ご参加いただきました皆様はありがとうございました。今回15名の募集だったのですが、うっかりしていたら受付がすぐに 20名超えてしまってキャンセル待ちまでいただいたみた…

Mac OS X とかで ZIP や LHZ ファイルを作成した場合に、ファイル名がどのようにエンコードされるのかは未検証なのですが、興味アルところですね。

例外的に WinRAR アプリケーションで作成できる、RAR 形式の圧縮ファイルではファイル名を Shift_JIS と UNICODE（変則的なUTF-16）で保存するため、言語環境が異なっても UNICODE 側のファイル名により文字化けは発生しません。例えば日本語環境で圧縮した …