プロセスの確認も一通り終わりましたので、次のステップとしてSANS BlogのStage 2: Analyze Process DLLs and Handle ある内容を確認していきたいと思います。 まず、Redlineで不審なプロセスであるPID 796 iexplore.exeのHandlesを確認していきたいと思いま…

そろそろ次の項目へ行こうかとも思ったのですが、良く見る、という原則を守るべくRedLineのProcesses項目をよく確認すると、Start Time すなわちタイムラインを確認していないことに気が付きました。*1 メモリイメージ内のプロセスが、何時開始されたのか？…

引き続きプロセスの状況を確認していきます、どこまでプロセスを確認してから次のステップに進めるべきかは難しいところですが、気になるプロセスは事前にまずリストアップしておく方が見逃しは減らせるのではないでしょうか。 RedLineでプロセス一覧を確認…

再びSANS BlogのAPT.IMGのプロセスをRedLineで確認していきます。解説記事では少し下の方に、Additional Analysis submitted by Gebhard Zocher という追加解説が載っていますが、こちらの方がより詳細に手順や内容が書かれています。 こちらを確認すると、…

昨日の続きになりますが、RedLineでプロセス一覧を確認した中に、svchost.exe経由の高い権限で実行されているiexplore.exeがありました。 Redlineではプロセスの親子関係をツリー状態（階層）で表示してくれますので、注意深く見ていけば気がつくかもしれま…

SANS の Blogでメモリフォレンジック問題の解答が示されているのですが、この解答内容がとても興味深く技術的にも考える上でも楽しめます。 APT Memory and Malware Challenge Solution http://digital-forensics.sans.org/blog/2014/02/08/apt-memory-and-m…

SANS 508 コースのコインをゲット。*1参加された皆様お疲れ様でした！！ 結局、最後まで分からなかった部分については、答え合わせの後にトレーナーに質問して答えてを教えていただきました(^^;; *1:念のため補足しておくとTeam Lとは別チームです

Log2timeline ではパースの対象を定義ファイルなどで指定する事により絞り込む事ができますが、前提としては保全されたデータまたは現物データがある状態で、そこから必要なデータのみパースするという考え方かと思います。 この場合、ホワイトリストやキー…

今週は社外でトレーニングを受講しているわけですが、このコースはオッサンの私には付いていくのが大変だったりはしますが、よく考えられた内容になっていて色々と参考になる点が多い内容になっています。 それはそれとして、日々何かしらネタを見つけて改善…

今週受講しているトレーニングは、同時通訳が入っているので、マイクを持って質問すれば翻訳していただけるという、大変ありがたい仕組みになっています。ただし、マイクを通して質問しないと通訳の方が聞こえないという仕組みがあります。 この場合、まず手…

個人的にもトレーニング資料などを作る場合がありますが、インシデント・レスポンスやデジタル調査では複数のツールを使うケースが多々あり、資料にもそれらツールの紹介を含める事が多くなります。 ただ、これトレーニングを受ける側からすると、ツールの洪…

回顧主義の私にうってつけのテーマかもしれませんが、今更ですが削除データの復元について、顧客の要望に応えるにはどう考えるのがよいか検討してみたいと思います。TPS の考え方を理解する為の実験ですので、大きく間違っている可能性が高いです。 「削除さ…

AVTOKYO JP に短い時間ではありますが、参加してきました。 200人規模のイベントということで、この寒空の中、外で資料を配布していたHasegawaさんはじめ、スタッフの皆さんお疲れ様です。*1 各プレゼンターの時間を気にしない発表には、素晴らしい意気込み…

渋谷に行くのは何年ぶり？最近は乗り換えでしか降りた記憶がないのですが、正直方向感覚が強い方ではないので会場に時間通りたどり着けるかが心配です（笑）*1 パネルのテーマと内容が広いので、話が発散してしまい愚痴だけに終わる危険性が高い気がしてます…

仕事柄？デジタルなデータばかり扱っていると、日常生活ではパソコンや最新機器はあまり触る気がおきません。*1 その為なのか、単にアナログなタイプなのかはわかりませんが、比較的、回顧主義的なものが好きで、デジカメとかでしたらNikon Dfとか、Fujifilm…

明日は AVTOKYO JP の開催日ですね。個人的にはこの手のイベントに参加するのは久しぶりで聴講者（というかいち参加者）としてはとても楽しみです。あれ？そもそもAVTOKYOって参加するの初めてだったり？昔行った事あったかな？ 今回も当初は行く予定はなか…

フォレンジック調査の工程を、少し引いて、または丸の中に立って考えて見た場合に、品質を維持するための不良チェックなどが正しく組み込まれているか？という疑問についてどう考えれば良いでしょうか。 ザ・トヨタウェイ 実践編 (上) 作者: ジェフリー・K・…

昨日のBlogネタの続きというか、関連した話題になりますが標準的なファイルタイプを特定することで、標準でないファイルを把握していく伝統的な手法としては、ファイルタイプによる識別があります。この利点と、考え方・扱いについて再度考えてみたいと思い…

先日からKindleが欲しい病にかかっているのですが、買うのは先送りですかね。

インシデントが発生した際、揮発性情報から始まりディスクイメージまで一連のデータを一括して収集するのが伝統的なやり方ですが、この流れをそのままに、リモートから大量の対象に対して実施するのは最近の状況（環境）からすれば現実的ではないのではない…

お正月に食べ過ぎまして、2Kgほど太りました。顎を引いた時に、顎の下にタブタブと脂肪がある事にびっくりし、恐る恐る体重計に乗ったところ 61kg ありました。