特に必要となっているわけでもないのですが、手元の Mac Book をやっと Snow Leopard にアップグレードしたので、Mac OS X 方面のフォレンジックツールをちょっと確認。 まずはやはりここから確認ですかね。 The Apple Examiner http://www.appleexaminer.co…

まったく試してないのでメモだけ。指定した URL から単語を切り出して辞書を作成するのに利用できそうなツールです。 Accent Keyword Extractor (freeware) http://www.passwordrecoverytools.com/tool_extract.asp どの様なケースで有効か、ちょっとすぐに…

入力した単語の組み合わせから辞書を生成するツールですね。*1単語の順序を変化させた組み合わせによる辞書を作成したいケースで使えそうですね。とはいえ、入力する単語数によっては、かなり出力サイズが大きくなる様子ですが。 RSMangler : Tool for Keywo…

これもメモだけ。MD4/MD5/NTLM に対応している、GPU（CUDA必要）をサポート。文書ファイル系には対応していないので、RainbowTable で十分な気がする。 CUDA Multiforcer Multihash brute forcer http://pentestit.com/2009/03/09/cuda-multiforcer-multihas…

速度検証で使いたいので、商用製品ではない GPU に対応したパスワード解除ツールを探しているのですが、RAR 関係で発見したツールの URL をメモ。このサイトでは他にも色々なツールが提供されていますが、Office 2007/2010 系のツールは製品として販売してい…

みんな大好き？ F-Response と Passware の組み合わせで、BitLocker のリカバリキーの確認が出来るデモが公開されていますね。Twitter に流れていたんですが見るの忘れていました。 F-Response and Passware, Bitlocker Access in Real-Time http://www.f-re…

@cci_forensics な人の Blog で CrashDump Analyzer 0.95 が公開されています。EnScript なので EnCase ないと動きませんけども、クラッシュダンプファイルのフォレンジック的な解析が必要な方向けのスクリプトですね。 CrashDump Analyzer 0.95 クラッシュ…

@nmantaniさんが5年ぶりに修正されたそうです（笑） http://twitter.com/nmantani/status/19416056679 FreeBSD を日頃使ってないので port にあったことを知らなかったのですが、FNG15 の会場で「確かFreeBSD のリクエストで istrings の port な話題が出て…

istrings の標準では UTF-8 に対応していないということで、@hasegawayosuke さんが(範囲を絞った)マップを追加してバイナリファイルからの文字列抽出を実験されてました。結果を拝見したところ、なかなか結果は人間が見やすい状態になっており調べやすい雰…

かなりメモリを消費したりするようですが、wiconv にバイナリファイルを喰わせ、文字コードを変換することでゴミを削るアプローチを @hasegawayosuke さんが挑戦されていました。 wiconv - 文字列のコードページの変換 http://openmya.hacker.jp/hasegawa/wi…

手元では Stirling を使っていることが多かったのですが、今回 @murachueさんに Binary Editor BZ が良い！と教えていただいたので、BZエディタを使ってみました。 Binary Editor BZ http://www.forest.impress.co.jp/lib/stdy/program/progeditor/binaryedi…

今回の FNG15 では題材ファイルとして以下のメモリダンプファイルを用意してみました。 ・Web サイト(twitter.com）で @tessy_jp のつぶやきを閲覧 ・Gmail でメールを閲覧 ・Windows Live Mailで POP で Gmail から取得したメールを閲覧 いやぁ並べて書いて…

バイナリから指定した文字列を取り出す方法としては、古典的な手法として strings コマンドがあります。主に ASCII で利用されますが、The Sleuth Kit などでは英数字の UNICODE について取り出すことも出来るはずです。他にも Unicode に対応した Strings …

SIFT 環境の中には「SIFT Workstation Cheat Sheet 1.5.pdf」という親切な PDF ファイルが提供されており、ここに Imaging Systems という項目として dcfldd の実行例が記載されています。SIFT に収納されている取得用ツールについては、「SIFT WORKSTATION …

まずホストOS側の Windows XP で USB デバイスへの書き込みを禁止してみます。下記レジストリキーの値を変更して、書き込みを禁止します。 キー：HKLM\System\CurrentControlSet\Control\StorageDevicePolicies 値：WriteProtect(DWORD) = 1 WriteProtect の…

ということで？7月の MVP 再審査に落っこちて、約 5年ほどいただいていた Microsoft の MVP アワードが無くなりました。2009年の受賞でいただいたガラスの置物が MVP グッズとしては最後になりました（笑） ま、最近のアクティビティからすれば当然といえば…

メモリ・フォレンジック方面の話題になりますが、@cci_forensics の人が、エントロピーをメモリ内に存在しているマルウェア検出に使う方法を Blog にポストされています。 Entropy: Detecting Similar File and Polymorphic Malware http://cci.cocolog-nift…

SANS SIFT のツール一覧を眺めていたところ、エントロピーを計算するツールとして ent なるコマンドが含まれているんですね。 Windows版のバイナリとかないかものかと検索してみたところ、オリジナルのサイトには Windows 版のバイナリがあったので、早速ダ…

今回は @cci_forensicsさんに講師というか、教官というかをやっていただき、Honeynet Project Challenges の Banking Troubles というメモリフォレンジックな課題に挑戦してみました。まぁすでに回答が出ているので、回答を読みながらなんですけど（笑） Cha…

どちらかというとそのフレーズは100人乗っても大丈夫！に近いわけですが、SD WORMカードですね。写真がとってもCSIちっくだ。 サンディスク、科学捜査写真の撮影・保存用に SD WORMカードを日本の警察関係機関に大量出荷 http://www.sandisk.co.jp/Corporate…

会社で発行しているニュースレターがあるのですが、今月発行予定の6月号で、斜め後ろの席な人がブロックハッシュを利用したファイルのリカバリについて説明しています。CEIC 2010 でもプレゼンがあったようで、なかなか興味深い EnScript が GSI から提供さ…

デジタルフォレンジックの最近の動向に関するワークショップがあるそうです。上原先生が壇上からUstreamをされるのではないかと密かに期待をしています。っていうか会場へ行け！という噂もあるんですけど。 第16回 ISSスクエア水平ワークショップ 開催案内 h…

IM 関連の解析機能が強いようですが、興味深い点としてロシアな企業なためか、中国方面でよく使われているらしい、QQ とかに対応していますね。文字コードとか、その辺りの扱いがどうなっているのかは試してないのでわかりません。評価版インストールしたら…

レジストリのバイナリ構造については追いかけてなかったので、ちょっと検索してみたところいくつか資料があるようなので、とりあえず URL のメモ。 The Windows NTRegistry File Format Version 0.4 http://sentinelchicken.com/data/TheWindowsNTRegistryF…

サンプルのマインドマップに、「6.Windows系コンピュータにおけるタイムスタンプの調査項目（案）マップ」が追加されています。タイムスタンプは幅が広いので、主にファイルシステムとレジストリなどの観点でまとめられています。若干ちゃんと埋まってない部…

今回 SANS の公開している資料がかなり役立ちました。 exFAT 構造解析 http://homepage3.nifty.com/k-takata/diary/exFAT.txtReverse Engineering the Microsoft exFAT File System http://www.sans.org/reading_room/whitepapers/forensics/reverse-enginee…

exFATではディレクトリエントリ（85タイプのレコード）に、CWA のタイムスタンプに関連してタイムゾーン情報が CWA 順に1バイトずつ保存されています。 日本のタイムゾーン（+9）の場合には、タイムゾーンの値として 0xA4 が設定されることになりますが、こ…

5バイト長の DOS タイムスタンプをデコードする場合、TimeLoad ツールを使えば簡単にデコードすることができると教えていただいたので忘れないうちにメモ。 TimeLord by Paul Tew A Time Utility for Forensic Analysts http://computerforensics.parsonage.…

exFATの作成日時については、分解能が 10ms になっているので、DOS タイムスタンプとしては 5バイト長になっています。（奇数秒まで取り扱えるようになっている）これまた EnCase の話になりますが、EnCase で exFAT の作成日時は 4バイト長の DOS タイムス…

exFAT ボリュームのフォーマット日時が識別できるか調べてみたのですが、該当するような情報は発見することができず。 ボリュームのフォーマット後、$RECYCLE.BIN フォルダが自動的に作成されるので、厳密ではないですが、$RECYCLE.BIN のタイムスタンプを確…