@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

2013-01-01から1年間の記事一覧

ファイルを最後にオープンしたのは?

関連する話題として、タイムスタンプ以外に、最後にオープンしたのは誰か?という情報についても確認が取れる場合があるようです。 MS Excel and BIFF Metadata: Last Opened By http://dfstream.blogspot.jp/2013/07/ms-excel-and-biff-metadata-last-opene…

PPTとDOC形式ファイルではどうなるのか?

ExcelではOpen Timeが更新されましたが、追加でPPTとDOC形式ファイルについても上記と同じテストを実施してみましたが現象は再現されませんでした。 どうやらExcel(XLS)形式の場合のみ発生する処理のようで、最新のXLSX形式でも試してみましたが、やはりこ…

Excelファイルを開いて・閉じた場合のNTFS上の動き

Facebookで参考になるURLを教えていただきましたが、動作としては以下のようになっているようです。 まずサンプルのExcelファイル(拡張子XLS)を用意 サンプルXLSファイルのMD5ハッシュ値を確認(e9bae5bf53d8cc0b8f55b1cda53b616c) サンプルXLSファイルの…

Excelファイルのオープン日付

Excelファイルのプロパティ(メタ情報)としては、作成者、前回保存者、改訂番号、プログラム名や、コンテンツの作成日時、前回保存日時などが存在しています。 この記事を読むまで知らなかったのですが、それ以外に「最後に開いた日時(Last Opened Time)…

タイムライン関連 参考URL(順番に特に意味なし)

□Log2timeline - Forensics Wiki http://www.forensicswiki.org/wiki/Log2timeline□log2timeline http://log2timeline.net/□Plaso - home of the super timeline http://plaso.kiddaland.net/ https://code.google.com/p/plaso/ http://www.forensicswiki.or…

タイムライン

フォレンジック調査で使うタイムラインのマインドマップもたたき台を作ってみましたが、Log2Timeline が標準でパースしないデータのタイムラインをいかに(簡単に)マージしていくのか?というのが一つのポイントでしょうか。 そして、巨大化するタイムライ…

SQLite3 Forensics関連 参考URL(順番に特に意味なし)

□The SQLite Database File Format http://www.sqlite.org/fileformat2.html□The Forensic Implications of SQLite’s Write Ahead Log http://digitalinvestigation.wordpress.com/2012/05/04/the-forensic-implications-of-sqlites-write-ahead-log/□Carvin…

SQLite3関連のアーティファクト

Webブラウザの履歴管理や、スマートフォンなどで利用されているSQLite3ですが、フォレンジック調査関連だと相変わらずあまり情報は多くないです。 ただ、ポイントとなる点は変化しているわけでもないのと、DBをパースできるツールはフォレンジックツールに限…

Web Forensics関連 参考URL(順番に特に意味なし)

□Web Forensics http://sci.tamucc.edu/~cams/projects/345.pdf□BROWSER FORENSICS http://www.browserforensics.com/□Category Archives: Browser Forensics http://davidkoepi.wordpress.com/category/browser-forensics/□Web Browser Forensics https://c…

Webブラウザ関連のアーティファクト

Webブラウザ関連のフォレンジックについて言及している記事を参照してみると、だいたい出てくるポイントとしては以下の項目が見受けられます。ブラウザの種類によってデータの持ち方などが変わりますので、それぞれのアプリケーションによって技術的には色々…

ファイル名痕跡かデータ痕跡か

大きく分けると、黄緑色にしているファイル名痕跡を探す部分と、ベージュ色のデータ内容を元にしたデータ痕跡の検索という事になりますかね。 データ内容を調べる場合には、元データが無いと対応できないので、元データはなくてファイル名しか分からないとい…

16.イベントログの確認

イベントログに限定せずにファイルアクセスのログとか取ってある場合には、それらのログを確認してファイル名が残ってないかを調べる。ログ内にデータの一部が含まれている事は想像しにくいので、ファイル名を検索するくらい?

15.バックアップの確認

VSSと似たようなお話ですが、バックアップがある場合にはそれらの中身についても確認を行う。バックアップ形式になっている場合にはExtract処理が必要になるので、お時間かかりそう。

14.LNKファイルの調査

定番処理

13.VSS内の確認

Windows Vista/7 では VSS スナップショット内のデータについても、同様の確認作業を行う。VSSスナップショットが複数存在すると、それ毎に対応が必要になるので時間がかかりそう。Windows 8からは仕組みが違う。

12.ブラウザ履歴内のファイル履歴確認

ブラウザ履歴内でファイル名の痕跡がないかの確認。 ブラウザが維持している情報によっては、別の何かが得られる可能性もある?いやまったく具体的なデータは思いつかないですけど。

11.電子メール

主には添付ファイルとして存在しているかどうか、添付ファイルがパスワード保護されていて中身分からないとかのケース。 PSTとかDBXとかだったりする場合には、未使用領域内での文字列検索をやってみるのも案としてはありますかね。

10.保護ファイルの検出

パスワード保護されているか、暗号化されているとか、ステガノツールが使われていることで、データ内容が当たってこないケースですかね。 保護ファイルはPasswareでスキャンとかすれば簡単に検出できると思いますが、暗号化ツールの自己展開形式とかは自動検…

9.How to: Determine User Access To File

RegRipperを使ってどう調べるかとか具体的な事が書かれています。 後からRegRipper部分のマップを作成するのの参考にしよっと。

8.ファイル名がない状態

ファイル名が変更されている場合とかに、データの中身でファイルを確認していくパターン。変更されていなければハッシュ値で検出できるけど、変更されていると駄目なのでエントロピー値を使うとかファジーハッシュで探すとか。文書ファイルならデータ内容で…

7.Extractが必要なファイル構造

ZIPとかLZHをここに入れてもいいのかもしれませんが、展開して中身を取り出さないといけないファイルタイプですかね。埋め込みオブジェクトとして存在しているような状況も考えられますが、バイナリ検索でいけるかな?、エンコードされているとマッチしない…

6.データ形式が変換されている

元は電子データなんだけど、JPEG画像に変換されているとか、紙で印刷したのをスキャンしてあるとか、デジカメで撮ったりしてあるとか。データとしては有るんだけど、変換されちゃっているので、データの中身で検索しないと見つからない。 一般的でないファイ…

5.メモリダンプの確認

Unallocated Clusterの扱いと基本的には同じ。ただ、ここでも4の文字コードというかエスケープというかの処理については考えた方がよいかもしれませんね。

4.文字コードが変更されている場合

文字コードが変更というか、ファイル名を保持しているんだけど、その保存方法が普通にUTF-8で保存とかでなく、何らかの処理が行われているケース。uxxxxみたいなのやBase64になっているとか。これもアプリケーションがどうやってデータを保存しているか次第…

3.アプリケーションのログファイル

いずれもアプリケーションのデータファイルやログファイル内に文字列痕跡として探しているファイル名やデータの一部が入って無いかをチェックする想定。 クラウド関連と書いてあるのは、クラウドストレージ関連のアプリケーションがローカルにインストールさ…

2.Unallocated Clusters

まずはファイル名の痕跡を探す。ファイルシステムによってファイル名の文字コードが異なるので、その点を考慮してパターン検索を行う。 ファイル名はないけど、ファイルが存在していた痕跡を探したい場合には、該当ファイル内のデータをバイナリパターンで検…

1.レジストリ内調査

基本的にはレジストリ内に保存されているMRUキーなどに保存されているファイル名やパスをまずは確認。ツールとしては定番のRegRipperを使う前提ですかね。 RegRipperはプラグインによりかなり色々な情報を収集できるので、この項目だけでマップを作成してお…

ファイルが存在していた痕跡を調べる際、考えるべき項目は?

お題としては、該当デバイス上で特定のファイルにアクセスしたか?、または存在していたか(存在しているか)?、を調べなければいけないケースを想定。 ※以下、最初のたたき台として作成したマインドマップ(整理できてないです)

Windows 8 参考URL(順番に特に意味なし)

□Windows 8 Forensics Part 1, Part 2, Part 3 http://www.youtube.com/watch?v=p8UHmoXtwsk http://computerforensics.champlain.edu/blog/windows-8-forensics http://computerforensics.champlain.edu/blog/windows-8-forensics-part-2 http://computerfo…