Windows Searchデータベースの解析用に入手した Simple Carver Suite ですが、引き続き日本語文字列関連の取り扱いとかを確認中です。残念ながら本来の目的である Windows 7 の Windows.edb ファイルのパースには至っておらず、作者にサンプルファイルを送っ…

レジストリのフォレンジック調査用ツールな RegDog ですが、一部不具合の修正と、新たに Pagefile.sys の暗号化設定の検出などが反映された RegDog 0.8.7 がリリースされています。 http://d.hatena.ne.jp/mark-of-distinction/20100113/1263354704 http://w…

バイナリ検索した時に、「薬剤師」が「ヤクザ」でヒットする件がちょっと気になったので、調べてみたのですが、Excel の“ふりがな”機能ですかね。日本語版 Excel と IME の組み合わせによる固有の機能みたいで、“漢字”を IME から入力した場合には、セル内に…

仕事しろ！って言われそうな時間(UTC時刻なので9時間プラスする必要があります)の履歴だという噂はありますが、予約席の数が心配になって Google で検索した時の履歴が、Windows Search（Windows.edb）にも記録されていたのでアーティファクトの例ということ…

SC Suite v4.0 に含まれる Windows Search Index Extractor 1.3 ツールをテストしていたりするんですけど、Windows XP 上で Windows 7 の Windows.edb を解析させると（予想通り？）ページサイズが違うといってエラーになるのでサポートに問い合わせ...orz …

1月16日（土）の午後13時からになりますが、FNG09 の参加者募集（オンライン・現地共）を開始します。参加をご希望の方は以下を参照のうえ、お気軽にお申し込みください。（1/14追記：現地の参加募集は定員になりましたので締め切りました、オンラインので参…

Fsutilからページファイルの暗号化が可能ということを昨年末に調べて、その後試してなかったので実際にテスト。 まず、VMware環境上の Windows 7 が作成している PageFile.sys を EnCase でマウントし、中身に可読可能な文字や画像データのリカバリが可能な…

フォレンジックとインシデントレスポンス関係のマガジン？と言えばいいのかわかりませんが、Into The BoxesのIssue 0x0が公開されていますね。 Into The Boxes Digital ReFsoproennsseicMs aagnadzIinnec http://intotheboxes.files.wordpress.com/2009/12/i…

ネタ元は WindiwsIR の System Combo Timeline へのリンクで知ったのですが、Timeline (TLN) format で出力する EnScript（TLNFile EnScript ）が提供されているんですね。 Bodyfile and Timeline EnScripts http://www.cutawaysecurity.com/blog/archives/7…

CCI な人がクラッシュダンプファイルから解析するツール（EnScript）を作成中みたいですね。 Microsoft CrashDump Analyzer その1 http://cci.cocolog-nifty.com/blog/2010/01/microsoft-crash.html#more 今後商用の解析ツールがこの方向になるのか謎ですが…

Windows 7のフォレンジック調査におけるポイントを解説した資料として、Harlan Carvey氏とTroy Larson氏のDigital Crimes Consortium 2009における発表資料？が下記URLで公開されています。 全体では107ページと大作PDFファイルですが、なかなか興味深い資料…

約一年ぶりに実家に戻ってきているのですが、本棚を整理していたら、「Windows NT ファイルシステム詳説」という書籍を発見。これまた分厚い本なんですけども、誰か読むかもしれないので会社の本棚に密かに入れておくべく持ち帰り。 Windows 2000リソースキ…

ということでm(_ _)m