インシデント・レスポンスの初期対応で誤った操作があると、その後のフォレンジック調査に影響を及ぼすことがありますが、どこまでが許容範囲か？という難しい質問があったので、Windows 系サーバでの対応についてなんとなく考えてみたメモ。Linux とかでは…

先日公開された「フォレンジック調査 サンプルマインドマップ」ですが、新たに2個のサンプルマップが追加されています。何か突っ込み等あれば、Twitterとかでもいただければです。 4.Windows系コンピュータにおけるウイルス感染時の調査項目（案）マップ 5.W…

コンピュータ・フォレンジック調査において、それぞれのケース毎に代表的な調査項目をマインドマップ化したサンプルファイルを会社の Web で公開しています。 注意事項でも書かれていますが、網羅的な項目リストではないのと、細かすぎて省略したり、広くな…

Windows XPにおいて、ローカルにある二つの NTFS ボリューム間でファイルを移動(move)した場合のオブジェクトIDについて確認してみましたが、やはり XP ではオブジェクトIDが変化しますね。 C:\temp>fsutil objectid query aaa.txt オブジェクト ID : 231765…

Windows 7において、異なる二つの NTFS ボリューム、C ボリュームから E ボリュームへと、NTFS ボリューム間でファイルを移動した場合に、オブジェクトID がどの様に変化するかについて調べてみたのですが、以下のような状況です。ローカルに存在している二…

FNG13 を 5月8日(土)、FNG14 を 5月22日(土)にしようかと考え中ですが、5/8 とか世間ではまだ連休中的な扱いだったりするんでしょうかね。テーマとしては EDB とまた VSS 辺りを考えています。

Volume Shadow Copy の解析に関する資料が公開されていますが、インデックスやデータ構造についても触れられており興味深いです。 Into The Shadows http://forensic4cast.com/?p=535Presentation – Into the Shadows http://forensic4cast.com/?p=576 ツー…

FILETIME Extractor (fte) が ObjectID に対応して、以下からダウンロード可能になっています。 http://www.kazamiya.net/fte でもって、Windows 7 では、ObjectID のタイムスタンプが XP とでは異なるというお話がでていたのと、作者のひと曰く『システム起…

システムが起動している状態であれば、ipconfigコマンドで簡単に MAC アドレスを確認できますが、オフライン状態というか、イメージファイル内で NIC の MAC アドレスを確認する方法ってあるんですかね？なんとなくレジストリを検索してもダメっぽい気がして…

ObjectID に利用される MAC アドレスが、資料によるとプライマリネットワークアダプタという記述になっているんですが、プライマリがどの様に決定されているのかが今のところ不明だったりします。 とりあえず、プライマリネットワークカードなどの単語で検索…

Windows XPではアクセサリから起動した Notepad.exe にオブジェクトIDが付与されているみたいなのですが、Windows 7では付与されないみたいなので、呼び方をいろいろなパターンでテスト。 C:\Windows\system32>fsutil objectid query c:\Windows\winsxs\x86_…

アプリケーションが利用するテンポラリフォルダについて、代表的な幾つかのアプリケーションについて調べてみたのですが、それぞれアプリケーションよっては興味深い使い方をしますね。 基本的にはユーザーのテンポラリフォルダ（Local Settings\Temp\）か、…

今週末（4/17）になりますが、久しぶりに FNG を開催したいと思います。参加希望の方は以下を参照ください、オンラインでの参加をご希望の場合にはその旨メールに記入くださいませ。 http://www.port139.co.jp/FNG/FNG12.pdf 今回は NTFS のオブジェクトIDに…

これも後から見ようと思ってそのままだったのでメモ。 Oxygen Forensic Suite 2010 - How to connect Android devices http://www.oxygen-forensic.com/download/articles/Oxygen_Forensic_Suite-How_to_connect_Android_devices.pdf へぇ、USB接続のデバッ…

Windows Vistaでの最終アクセス日時（Atime）についての資料。 Vista Timestamps http://digfor.blogspot.com/2009/07/vista-timestamps.html 基本的な動作は Windows 7 でも同じだと思いますが、なかなか興味深いのでほかのファイル種類についても、Windows…

あとで見たいと思いつつ、すっかり忘れていたので備忘録としてメモ。 http://www.browserforensics.org/ 主に IE と Firefox についてまとめられており、全体で 67ページ（PDF版）

実はまったく気がついてなくて、先ほど人から教えていただいたのですが、IDFの証拠保全ガイドラインについて、以下にある夏井先生のコメントが大変興味深いです。よくよく見たら、これ2月の話題ではないですか！！、今頃気がつくなよ、というお話もある気が…

コンピュータ・フォレンジックの分野では、有償・無償を含めフォレンジック専用のツールが調査の現場で活躍しています。しかし、これらのツールは多かれ少なかれ操作方法については専用のトレーニングの受講を必要としており、またほとんどが海外製品で英語…

デジタルフォレンジック研究会が発行している、「IDFメールマガジン」の4月1日号に寄稿させていただいたのですが、最終的に寄稿したネタとは別にボツにしたネタがあります。書いてはみたけんですけども、愚痴になっている気がするのでやめて他のネタにしちゃ…