FNG では2回目となる exFAT の解析ですが、今回は主にディレクトリエントリにおけるタイムスタンプの取り扱いについて確認してみました。 すっかりメモをまとめるのが遅くなったので、若干失念している点があるかもしれませんが、間違っていたりすれば、きっ…

PDFファイルを暗号化（オープン時にパスワードを要求するように設定）した場合、ストリーム内容が暗号化されるので、\xFF \xD8 などのパターンがなくなり、バイナリ検索では JPEG 画像を検出することができません。 PDFファイルにパスワードを設定するコマン…

PDF にはファイルを添付する機能がありますが、この機能を使って PDF ファイルに画像ファイルが添付されている場合、どう検出するかをフォレンジック調査サンプルマインドマップに追加しておこうと思ったので、PDFHACKS 本のP244 辺りを読みながら pdftk ツ…

PDFファイル内のメタ（プロパティ）情報を編集・削除したいとか思ってツールを探していたのですが、隣の席な @fighting_pgさんに教えてもらった、下記ツールを忘れないうちにメモ。 このツールなかなか便利ですね。 BeCyPDFMetaEdit http://www.becyhome.de/…

お仕事ではOutlook使っている*1んですけど、一時ファイルの保存場所に関連したレジストリキーがあるんですね。 Blasting the blasted Outlook Secure Temporary file folder… http://grandstreamdreams.blogspot.com/2010/05/blasting-blasted-outlook-secur…

会社のセミナールームが利用中であることが判明したので、当初の予定を変更し 5/15(土)に開催したいと思います。オフラインとオンライン両方での開催になりますが、オンラインだとちょっとわかりにくいかも？ http://www.port139.co.jp/FNG/FNG13.pdf FNG13 …

今回、福島地裁は DVD にデータを保存していますけど、DVD って最近だと保存期限的には何年くらいなのかふと気になりました。使っているメディアの品質に依存する部分が大きいようですが、裁判だと数年とかすぐに経過するので、いざ使おうと思ったら経年劣化…

裁判所って「ハードディスク内蔵型のビデオカメラ」で撮影するんですね。それで取り込みか、取り込み作業段階でたぶん消してしまったのでドウシヨウモナイということなんでしょうか。ビデオカメラでライトブロック可能な装置付いているものがあればいいのか…

インシデント・レスポンスの初期対応で誤った操作があると、その後のフォレンジック調査に影響を及ぼすことがありますが、どこまでが許容範囲か？という難しい質問があったので、Windows 系サーバでの対応についてなんとなく考えてみたメモ。Linux とかでは…

先日公開された「フォレンジック調査 サンプルマインドマップ」ですが、新たに2個のサンプルマップが追加されています。何か突っ込み等あれば、Twitterとかでもいただければです。 4.Windows系コンピュータにおけるウイルス感染時の調査項目（案）マップ 5.W…

コンピュータ・フォレンジック調査において、それぞれのケース毎に代表的な調査項目をマインドマップ化したサンプルファイルを会社の Web で公開しています。 注意事項でも書かれていますが、網羅的な項目リストではないのと、細かすぎて省略したり、広くな…

Windows XPにおいて、ローカルにある二つの NTFS ボリューム間でファイルを移動(move)した場合のオブジェクトIDについて確認してみましたが、やはり XP ではオブジェクトIDが変化しますね。 C:\temp>fsutil objectid query aaa.txt オブジェクト ID : 231765…

Windows 7において、異なる二つの NTFS ボリューム、C ボリュームから E ボリュームへと、NTFS ボリューム間でファイルを移動した場合に、オブジェクトID がどの様に変化するかについて調べてみたのですが、以下のような状況です。ローカルに存在している二…

FNG13 を 5月8日(土)、FNG14 を 5月22日(土)にしようかと考え中ですが、5/8 とか世間ではまだ連休中的な扱いだったりするんでしょうかね。テーマとしては EDB とまた VSS 辺りを考えています。

Volume Shadow Copy の解析に関する資料が公開されていますが、インデックスやデータ構造についても触れられており興味深いです。 Into The Shadows http://forensic4cast.com/?p=535Presentation – Into the Shadows http://forensic4cast.com/?p=576 ツー…

FILETIME Extractor (fte) が ObjectID に対応して、以下からダウンロード可能になっています。 http://www.kazamiya.net/fte でもって、Windows 7 では、ObjectID のタイムスタンプが XP とでは異なるというお話がでていたのと、作者のひと曰く『システム起…

システムが起動している状態であれば、ipconfigコマンドで簡単に MAC アドレスを確認できますが、オフライン状態というか、イメージファイル内で NIC の MAC アドレスを確認する方法ってあるんですかね？なんとなくレジストリを検索してもダメっぽい気がして…

ObjectID に利用される MAC アドレスが、資料によるとプライマリネットワークアダプタという記述になっているんですが、プライマリがどの様に決定されているのかが今のところ不明だったりします。 とりあえず、プライマリネットワークカードなどの単語で検索…

Windows XPではアクセサリから起動した Notepad.exe にオブジェクトIDが付与されているみたいなのですが、Windows 7では付与されないみたいなので、呼び方をいろいろなパターンでテスト。 C:\Windows\system32>fsutil objectid query c:\Windows\winsxs\x86_…

アプリケーションが利用するテンポラリフォルダについて、代表的な幾つかのアプリケーションについて調べてみたのですが、それぞれアプリケーションよっては興味深い使い方をしますね。 基本的にはユーザーのテンポラリフォルダ（Local Settings\Temp\）か、…

今週末（4/17）になりますが、久しぶりに FNG を開催したいと思います。参加希望の方は以下を参照ください、オンラインでの参加をご希望の場合にはその旨メールに記入くださいませ。 http://www.port139.co.jp/FNG/FNG12.pdf 今回は NTFS のオブジェクトIDに…

これも後から見ようと思ってそのままだったのでメモ。 Oxygen Forensic Suite 2010 - How to connect Android devices http://www.oxygen-forensic.com/download/articles/Oxygen_Forensic_Suite-How_to_connect_Android_devices.pdf へぇ、USB接続のデバッ…

Windows Vistaでの最終アクセス日時（Atime）についての資料。 Vista Timestamps http://digfor.blogspot.com/2009/07/vista-timestamps.html 基本的な動作は Windows 7 でも同じだと思いますが、なかなか興味深いのでほかのファイル種類についても、Windows…

あとで見たいと思いつつ、すっかり忘れていたので備忘録としてメモ。 http://www.browserforensics.org/ 主に IE と Firefox についてまとめられており、全体で 67ページ（PDF版）

実はまったく気がついてなくて、先ほど人から教えていただいたのですが、IDFの証拠保全ガイドラインについて、以下にある夏井先生のコメントが大変興味深いです。よくよく見たら、これ2月の話題ではないですか！！、今頃気がつくなよ、というお話もある気が…

コンピュータ・フォレンジックの分野では、有償・無償を含めフォレンジック専用のツールが調査の現場で活躍しています。しかし、これらのツールは多かれ少なかれ操作方法については専用のトレーニングの受講を必要としており、またほとんどが海外製品で英語…

デジタルフォレンジック研究会が発行している、「IDFメールマガジン」の4月1日号に寄稿させていただいたのですが、最終的に寄稿したネタとは別にボツにしたネタがあります。書いてはみたけんですけども、愚痴になっている気がするのでやめて他のネタにしちゃ…

OLE構造に関する資料としては、以下の資料ですかね。 Object Linking and Embedding (OLE) Data Structures http://msdn.microsoft.com/en-us/library/dd942265(PROT.10).aspx で、いまごろ気がついたのですが、PSTファイルフォーマットの資料も OfficeFileF…

ファイル共有がLinux上のSambaなどで行なわれている場合、RobocopyによるSMB経由でのコピーではファイル名はユーザーが認識しているのと基本的に同じ名前で複製されることになると思います。 しかし、LinuxのExt3とかのファイルシステム上では異なる形式かも…

Robocopyはファイル単位でのコピーですので、ファイル毎にコピーのログがでます。EnCaseの場合セクタ単位なのでエラーになるセクタ（ブロック）があるとエラーが報告されます。 いずれにしても、ログは取っておく必要があります。