WinEvtxParser(Parses Windows XML EventLog (EVTX) files)を試してみましたが、出力形 L2tcsv では読みにくいと感じています。そこで、今回は psort で加工する方法について確認してみます。 まず、log2timelineのアウトプットモジュールについては、（--in…

WinEvtxParser(Parses Windows XML EventLog (EVTX) files)を試してみたいと思います。EVTX形式ですのでWindows Vista以降で使われている現時点では最新のイベントログファイル形式になります。 C:\Windows\System32\winevt\Logs\System.evtx ファイル単体を…

WinEvtParser(Parses Windows EventLog (EVT) files)を試してみたいと思います。EVT形式ですのでWindows XPなどで使われていたイベントログファイル形式になります。 root@siftworkstation:/cases# log2timeline.py --parsers WinEvt --output L2tcsv --logf…

10年ぶりに改訂された、改訂版デジタル・フォレンジック事典が届いていました。 ほんとにちょびっとだけですが、私もツール紹介部分を書かせていただいています。 デジタル・フォレンジック事典 作者: 舟橋信 出版社/メーカー: 日科技連出版社 発売日: 2014/…

自転車に乗るのにとっても良い季節になりました。 ここ最近はすっかり散歩ばかりで会社の人には「散歩ばかりで、おじいちゃんみたいですね！！」と言われていましたが、糖質制限で筋肉量が若干落ちてきていたこともあり、久しぶりに RNC3 を引っ張りだして若…

OpenXMLParser(Parse metadata from OXML files)を試してみたいと思います。 昨日は2003形式まででしたが、こちらはそれ以降の2007形式、docx,xlsx,pptx などがパースの対象になると思われます。（OpenOfficeとかも対応しているのかは未確認です） root@sift…

OleCfParser(Parses OLE Compound Files (OLECF))を試してみたいと思います。OLE複合ファイルのタイムスタンプを取るという事ですので、いわゆるOffice 2003までの形式ファイル、doc,xls,ppt などがパースの対象になると思われます。 root@siftworkstation:/…

Log2timeline(Plaso)で引き続きパース結果を確認したいと思います。 SQlite3 DB を使っているアプリケーションとしては、Google Chromeもありますので試しに Chrome ブラウザのデータをパースしてみたいと思います。 パーサーとしては --parsers ChromeHisto…

Log2timelineを使って個別アーティファクトのタイムラインを CSV 形式で確認していきたいと思います。 日本語の扱いが気になりますので、まずは試しに Skype のデータをパースしてみたいと思います。準備したのは日本語版Windows上で使っているSkypeデータベ…

SANS SIFT Workstation 3.0をやっとダウンロードできましたので、最近 sonodam さんと話題になったタイムラインについて少し確認したいと考えています。 SIFTにはMantarayが入っていますので、イメージファイル（例えば E01ファイル）を指定して Super Timel…

正月明けから続けている、プチ糖質制限も3カ月ほど経過したことになりますが、体重のほうは順調に減り現在 56Kg 台です。気を抜くと 55kg 台に突入する感じですが、その場合には筋肉量が減っている事が多く良くない数値になります。 少し増やす必要があるな…

以前、「トヨタの片付け」を図書館で借りて読んだことがあったのですが、同じ内容で図解になっている下記を図書館で予約してありました。結構人気の書籍のようで少し待ったのですが、借りてくることが出来ました。 [図解]トヨタの片づけ 作者: OJTソリューシ…

SANS Forensics Blogで紹介されている CrowdResponse の基本機能を確認してきましたが、最後にレポートの変換ツール CRconvert.exe を見ておきたいと思います。 CrowdResponseは出力結果を XML 形式で出力します。そのまま読む事もできますが、XMLを CSV,TSV…

SANS Forensics Blogで紹介されている CrowdResponse ですが、Yara のスキャンが可能ですので、Yara のルール部分を確認したいと思います。 yara http://plusvic.github.io/yara/ The pattern matching swiss knife for malware researchers (and everyone e…

SANS Forensics Blogで紹介されている CrowdResponse を引き続き見ていきたいと思います。 マニュアルでは 12ページからサブツールの @yara の説明が始まります。残念ながら私はYaraの利用経験がありませんので、間違って書いている部分があるかもしれません…

SANS Forensics Blogで紹介されている CrowdResponse を少しずつ見ていきたいと思います。 マニュアルでは 11ページからサブツールの @PSlist の説明が始まっています。実行中プロセスに関する詳細なメタデータやハッシュ値などを提供してくれるという機能の…

SANS Forensics Blogで紹介されている CrowdResponse を少しずつ見ていきたいと思います。インシデント・レスポンス用のツールで、基本的にはWindows XP以降の環境に対してセキュリティ情報を収集する？コマンドラインツールという位置付けのようです。 サポ…

先日、Facebookで SSD のウェアレベリングについてコメントいただいたのですが、この仕組みについては勉強不足で良く知らないため、少し関連URLを読んでメモしておきたいと思います。まずはWikiで基本的な部分から覚えていきます・ ウェアレベリング - Wikip…

今週は図書館から借りてきていたブラックスワンシリーズ？の「ブラック・スワンの箴言」を読んでいました。そもそも私は「箴言」の漢字を読むことができなかったのですが、”しんげん”と読むようで、戒める言葉とかそういったニュアンスのようですが、旧約聖…

Forensic Focusのフォーラムで出ている話題ですが、セキュアブートについて最近の状況をメモしておきたいと思います。 CD-ROMやUSBなど別媒体からOSを起動し、HDDへの書き込みを禁止した状態でディスクのイメージを取るという方法があります。例えば、WinPE…

SSDディスクについては、削除されたデータの復元が難しいというお話が2010年頃にはすでに出ていますが、最近の状況も踏まえて少し確認してみたいと思います。 Solid State Drives: The Beginning of the End for Current Practice in Digital Forensic Recov…

NTFSで不良ブロックを管理している$BadClusファイルですが、NTFS DocumentationのP 58に詳細が説明されています。 ＄BadClusは名前付ストリームとして$Badを属性として持っており、$Badファイルはボリュームと同じサイズを持っています。このファイルを誤っ…

ハードディスク上に不良セクタが発生すると、該当セクタがエラーになる事がOS側に通知されます。HDD内部では代替セクタのマッピングが自動的に行われ、そのセクタが利用可能になった場合でも、OS側でも不良クラスタの情報を管理しているので、HDDと情報が一…

ハードディスクのセクタサイズが512から4096になっていくというお話は以前からあるわけですが、最近の状況を確認してみました。 Advanced Format (または512E）のディスクが市場に出てきた時に検証した事がありますが、その後あまり気にしていなかったのです…

今更というお話がありますが、ハードディスクのエラーセクタまたは不良セクタと呼ばれる事象について再度復習しておきたいと思い、Googleで検索した結果を色々と読んでみています。 下記、ハードディスク番長の解説は、とても分かりやすいのですね。これまで…

Seagate Diagnostic Commands を読むという現実から逃避して、図書館から借りてきた本を読んでみました。ページ数としては190ページとすぐに読めそうな厚さだったのですが、文量としては結構ありますね、ただ分かりやすくスイスイ読んでいくことができる内容…

SIFT Ver3.0 に含まれるソフトウェアですが、スーパータイムライン系のツールとして、plasoが含まれています。SANS FRO508 コースでは Log2timeline を使っていて plaso は出てきませんでしたが、スーパータイムラインの生成エンジンですかね。 plaso http:/…

SIFT Ver3.0 に含まれるソフトウェアですが、GUIベースのフロントエンド？としては、PyFlagもSIFTには含まれています。私は全然使ったことがないので改めてプロジェクトの状況を確認してみます。Googleで検索すると以前のプロジェクトページなどがヒットして…

SIFT Ver3.0 に含まれるソフトウェアですが、以前から含まれている古典？ツールとしては The Sleuth Kit のフロントエンド GUIとしての Autopsy があります。 現在、AutopsyはWindows用のバージョン3と、Linux上で動作するバージョン2があるようですので、SI…

SIFT Ver3.0 に含まれるソフトウェアですが、以前から含まれている古典？ツールとしては The Sleuth Kit があります。 最新バージョンでの変更履歴については、下記で確認する事ができるますが最新版は4.1.3になっています。SIFT 3.0 に含まれているバージョ…