@nmantaniさんが5年ぶりに修正されたそうです（笑） http://twitter.com/nmantani/status/19416056679 FreeBSD を日頃使ってないので port にあったことを知らなかったのですが、FNG15 の会場で「確かFreeBSD のリクエストで istrings の port な話題が出て…

istrings の標準では UTF-8 に対応していないということで、@hasegawayosuke さんが(範囲を絞った)マップを追加してバイナリファイルからの文字列抽出を実験されてました。結果を拝見したところ、なかなか結果は人間が見やすい状態になっており調べやすい雰…

かなりメモリを消費したりするようですが、wiconv にバイナリファイルを喰わせ、文字コードを変換することでゴミを削るアプローチを @hasegawayosuke さんが挑戦されていました。 wiconv - 文字列のコードページの変換 http://openmya.hacker.jp/hasegawa/wi…

手元では Stirling を使っていることが多かったのですが、今回 @murachueさんに Binary Editor BZ が良い！と教えていただいたので、BZエディタを使ってみました。 Binary Editor BZ http://www.forest.impress.co.jp/lib/stdy/program/progeditor/binaryedi…

今回の FNG15 では題材ファイルとして以下のメモリダンプファイルを用意してみました。 ・Web サイト(twitter.com）で @tessy_jp のつぶやきを閲覧 ・Gmail でメールを閲覧 ・Windows Live Mailで POP で Gmail から取得したメールを閲覧 いやぁ並べて書いて…

バイナリから指定した文字列を取り出す方法としては、古典的な手法として strings コマンドがあります。主に ASCII で利用されますが、The Sleuth Kit などでは英数字の UNICODE について取り出すことも出来るはずです。他にも Unicode に対応した Strings …

SIFT 環境の中には「SIFT Workstation Cheat Sheet 1.5.pdf」という親切な PDF ファイルが提供されており、ここに Imaging Systems という項目として dcfldd の実行例が記載されています。SIFT に収納されている取得用ツールについては、「SIFT WORKSTATION …

まずホストOS側の Windows XP で USB デバイスへの書き込みを禁止してみます。下記レジストリキーの値を変更して、書き込みを禁止します。 キー：HKLM\System\CurrentControlSet\Control\StorageDevicePolicies 値：WriteProtect(DWORD) = 1 WriteProtect の…

ということで？7月の MVP 再審査に落っこちて、約 5年ほどいただいていた Microsoft の MVP アワードが無くなりました。2009年の受賞でいただいたガラスの置物が MVP グッズとしては最後になりました（笑） ま、最近のアクティビティからすれば当然といえば…

メモリ・フォレンジック方面の話題になりますが、@cci_forensics の人が、エントロピーをメモリ内に存在しているマルウェア検出に使う方法を Blog にポストされています。 Entropy: Detecting Similar File and Polymorphic Malware http://cci.cocolog-nift…