tessy さんから、CTF 勉強会用にフォレンジックの課題を持参して参加しろやゴラァ！というお話が出ていたのですが、フォレンジック方面って仕込むとトリッキーな内容になってしまい、現実とかなり離れた話題になってしまう気がしています。 ですので、より現…

しばらく日程があきますが、2週間後の2/13,14 はセキュそば*1のはずなので、その翌週で2月20日(土）の午後から開催になります。テーマは OLE 構造の予定です。ブラウザ関連だと IE がセッション情報を復元するために情報を保存している .dat ファイルでも使…

ブラウザがInPrivateなどのモードで動作していたり、もしくはブラウザを閉じる（終了処理）を行うことで消える or 上書きされる情報とかがあるとすると、メモリダンプを取得した後は、強制的にプロセスを KILL するなりした方がディスク上に残る情報は保持し…

揮発性情報というくらいですので、時間の経過と共に失われてしまうので、仮にメモリダンプを実行してもどこまで情報が得られるのかは状況次第ですが、少なくともWebブラウザなりが取り扱っているWebメールのデータ内容に踏み込んで調べるには、メモリダンプ…

画面のスクリーンショットなどの情報は、OS内部でプログラムを動かしてスクリーンショットを残すのではなく、外部でデジカメなどを使い撮っておいて、メモリの汚染というか、不要な変更を避けるほうがよいというお話も出てましたね。デジカメで撮影した画像…

CCI な人に聞こうと思っていたのにすっかり失念していたのですが、"Memory Forensic Toolkit" に関連した話題で確かメモリダンプで、終了というかすでに死んでいるプロセスの識別だか使っていたメモリ範囲の確認などが可能かもしれないというお話があったよ…

背後の人がメモリダンプから Gmail のパスワード取り出すなどの実験をしていたのですが、Windows 7 のテストはこれからみたいです（笑）。プロセスリストを確認するのはブックマークからの方が見やすいということはよくわかりました。 Extracting Gmail Pass…

IE 8などのプロセスをダンプする際に、タブごとにプロセスIDが存在しているわけですが、どれがどのタブのプロセスIDなのかを簡単に識別する方法が欲しいという話題が出ていました。プロセスエクスプローラ（process explorer）や tasklist /v コマンドを使う…

確か Web 会議室側でチャット履歴を CSV で出力してくれるはずだと思って確認してみたら、1行分しか残ってない...orz、モデレータ権限で設定したのしか記録しない仕組みなのかなぁ、次回は Twitter などにも並行して呟いておかないと後から自分が困るな（笑…

Web メールが送受信しているデータ内容を確認するという点では、HTTPSなので別途 PROXY などでやりくりするか、Fiddler を使いローカルで Proxy してコンテンツ内容を確認するとよいのではないかというお話も出ていました。 http://www.fiddler2.com/fiddler…

女房を質に入れて「＠IT メールソリューション Live! in Tokyo」に参加されるご予定らしい、sen-u さんがコンテンツがキャッシュ対象かどうかを確認されていたのですが、確認方法を教えてもらうのを失念（笑）っていうか、白衣でのご登場なんですか（ｗ

とりあえず Web メールがどの様に構成されているのか？という辺りから調べ始めたわけですが、IEで“ソースを表示”を実行してもさっぱり中身を表示してくれません。で、「そこは Firefox で！」というチャットでの助言を受け、（二個目の f は小文字な）Firefo…

今回の FNG はテーマがWebメールということだったのですが、とりあえず手元では日頃から使っている Gmail をベースに色々と調べてみました。Webメールは種類も豊富ですので、基本的にはそれぞれのWebメールにあった調査方法を考える必要があると思います。な…

iPad でこれらの書籍も読めるようになるのだろうか・・・ Virtualization and Forensics: A Digital Forensic Investigator's Guide to Virtual Environments http://www.amazon.co.jp/Virtualization-Forensics-Forensic-Investigators-Environments/dp/159…

昨日、なぜJSONとOLE構造ファイルの閲覧ツールを何故調べていたんだっけ？、とボケてきているので忘れないうちに関連する URL をメモ。 Web Browser Session Restore Forensics http://computerforensics.parsonage.co.uk/other/other.htm 先日 Twitter で呟…

メモ Structured Storage Viewer http://www.mitec.cz/ssv.htmlStructured Storage Extractor http://www.simplecarver.com/tool.php?toolname=Structured Storage ExtractorFlexible Hex Editor http://www.heaventools.com/flexhex-hex-edit-compound-file…

プロセスをダンプしたイメージの中に JSON なデータがある場合に、見やすくするツールとかを調べ中なのですが、関連する URL をとりあえずメモ。 JSON NotePad http://textexpage.s154.xrea.com/software/jsonnotepad/index.phpJSON Editor http://jsonedito…

恐らく主に米国で提供されているサービスを主としてパターン定義されていると思いますが、Gmail や Yahoo、HotmailのWebメールのアーティファクトを検索するツールとして、IEF（Internet Evidence Finder）というツールがあるので、週末の FNG10 向けに評価…

ナノ秒単位でのタイムスタンプを確認するツール fte の type 値について詳細が解説されています。こうして、まとめられた資料を見るとそれぞれの分解能や特徴がよくわかりますね。 type (fte) http://www.kazamiya.net/fte/type これを読んでいてふと思った…

テーマは「Webメール」ということで、一般的なWebメールなどの仕組みや添付ファイルの取り扱い、Webブラウザの履歴やキャッシュファイルのアーティファクトについて基本的なところを調べてみる予定です。Webメールといっても幅が広いので、代表的なものを想…

SQLite3 で使われている可変長なんとかのデコードツールですが、「16進⇒10進の変換機能も付くともっと便利に・・・と要望を言ってみるテスト」というご意見をいただいたので隣の人が対応してくれました。が！、そもそも16進数→10進数の変換機能ってどいう意…

エラー処理が強化されたようで、これでエラーで落ちても原因究明が楽になる！？ http://twitter.com/fighting_pg/status/7977449323 http://d.hatena.ne.jp/mark-of-distinction/20100120/1263967359 ということで？生贄になっていただけるテストしていただ…

ツールを隣の席な人がサクっと作ってくれました。 VLICalculator.exe http://www.ji2.co.jp/forensics/tools/index.html ドットネットフレームワークが必要だと思いますけど、上記 URL からダウンロードできます。

id:sonodamさんが「Forensic analysis of the Firefox 3 Internet history and recovery of deleted SQLite records」という資料を購入されたみたいですが、内容はいかがなものでしょうか？今度ぜひ見せてください！。 ■[セキュリティ]FNG09 http://d.hatena…

FNG09でFirefoxプラグインからテーブル内のデータ（レコード）を削除した結果を確認していてわかったのですが、セキュアデリートが有効になっている状態(SQLITE_SECURE_DELETE)でコンパイルされている場合があるんですね。 SQLITE_SECURE_DELETE http://www.…

SQLite3ではデータタイプを示すのに Variable Length Integer Format という形式が使われているんですが、これの日本語訳は何が適切なんでしょうかね？ここではとりあえず可変長整数としておきますが... 2.3.2 Database Record Format http://www.sqlite.org…

SQLite3 のデータベースヘッダの内容を確認するのに、最初はバイナリエディタでオフセット位置をそれぞれ確認していたのですが、tessさんから「それ SQLite Manager プラグインで！」というご指摘により、Firefox に SQLite Manager を追加して使っていたの…

当日になってオンラインの方がエラーになることが発覚し、急遽現地でのみ実施となってしまい、オンライン参加の予定だった方々には申し訳ないことになった FNG09 ですが一応終了しました。今回、初参加の方とかもいらっしゃっり人数がいつもより多かったので…

(1)バイナリエディタ 例）Stirling（http://www.vector.co.jp/soft/win95/util/se079072.html） ※UTF-8のキャラクタに対応しているほうがいいかもしれないが、ASCII でテストするのであまり気にしなくてもOK。(2)SQLite3に対応しているツール 例）PupSQLite…

先日、ESENTUTLコマンドを使って Windows Search の windows.edb ファイルがダーティー状態なのを修復したのですが、なんとなくRepair (/p)オプション利用で良いのか悩んでいます。 ディスクイメージにトランザクションログが存在しているのであれば、トラン…