Program Execution カテゴリにある AppCompatCache について確認してみます。この値は SYSTEM レジストリ ハイブの下記キー配下に値として存在しています。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache REG_BINARY…

今週も雨模様だったこともあり、今週末のサイクリングは 50km しか走れておりません。仮想目的地までは残り 685km という事になります。

Program Execution カテゴリの最初に出てくるのが UserAssist になります。GUIベースのプログラムに関する実行履歴が、各ユーザーの NTUSER.DAT ファイル内に記録されていますので、その内容を確認する事になります。 HKEY_CURRENT_USER\Software\Microsoft\…

SANS Windows Artifact Analysis ポスターにあるカテゴリ、Program Executionについて見ていきたいと思います。プログラム実行に関するアーティファクトという事で、以下の項目がリストアップされています。 UserAssist Last-Visited MRU RunMRU Start->Run …

ポスターには記載がありませんが、Google Chrome についても確認しておきたいと思います。 Google Chrome では以下のフォルダ配下に SQLite3 形式で History ファイルが存在しています。 Win7 %userprofile%\AppData\Local\Google\Chrome\User Data\Default …

ポスターでは FireFox 経由でダウンロードしたファイルの履歴情報として、downloads.sqlite が記述されています。 しかし、これは古いバージョンのお話で（Wiki によると FireFox 21辺りまで？）、手元で確認した FireFox 29.0.1 では downloads.sqlite ファ…

NirSoft の ESEDatabaseView を使い WebCacheV01.dat をパースすると、MSysObjects の内容を確認する事ができます。 Container_36 がダウンロードに関するテーブルになりますので、この定義情報を MSysObjects の CSV で確認すると ObjidTable 値 74、Name …

ESENTUTLコマンドを使うことで、ESEDB の情報を確認できますが、WebCacheV01.dat ファイルについての取り扱いが下記資料 Page 15 で詳しく扱われています。 Forensic analysis of the ESE database in Internet Explorer 10http://hh.diva-portal.org/smash/…

この週末は 50km しか自転車に乗れていません。仮想目的地までは残り 735km という事になります。不甲斐ない結果になってしまった事を反省。 天候の影響もありましたが、予定をきちんと立てずに過ごしてしまった事が原因の一つでしょうか。 小岩菖蒲園祭りに…

esentutl /m /p1921 WebCacheV01.dat コマンドの出力結果では、Page Tagをパースして結果を表示してくれています。実際のデータ構造としては、ページの最後からページ先頭に向かって 4バイトづつ Page Tag が記録されています。 TAG 0 cb:0x0010 ib:0x0000 o…

WebCacheV01.dat ファイルに対して RAW で KW 検索を実施すると、ESEDatabaseView から出力した CSV ファイルでは HEX 文字列？として出力されてくるデータがヒットしてきます。該当データ部分の詳細を確認する為、ESEデータベースの構造を少し確認しておき…

WebCacheV01.datファイルをESEDatabaseViewまたはEseDbViewerでパースし、CSVデータとして出力するとかなり多くのファイルが作成されます。 出力されるCSVファイルの中に Containers.csv があり、この内容を確認するとContainer_数字のファイルの役割につい…

WebCacheV01.datファイルは Extensible Storage Engine (ESE) Database File (EDB) 形式ですが、EseDbViewer で読み込む時にはページサイズを指定する必要があります。（EseDbViewerは管理者権限で実行しないと.datを読み込ませた時にエラーになるので注意が…

IE 10のWebCacheV01.dat ファイル内でダウンロード情報がどの様に管理されているかを確認してみたいと思います。ESEDB形式ファイルを閲覧できるツールとしては下記があります。（専用ツールという意味ではIEFがありますが） ESEDatabaseViewhttp://www.nirso…

SANS Windows Artifact Analysis: Evidence of..ポスターの File Download の項目として Index.dat/Places.sqlite が項目として出てきます。 IE では Ver9 でダウンロードマネージャが搭載され、（通常の履歴以外に）このダウンロードマネージャ用の Index.d…

本日の走行距離は 50km でしたので、仮想目的地までは残り 785km という事になります。3日間で 130km ほど走った事になりますが、2時間で 50km という目標にはまだ到達できていません。 走行中にチェーンから若干軋むような少し高周波音があった為、帰宅後に…

金曜日と土曜日でそれぞれ、30km と 50km サイクリングできましたので、仮想目的地までの距離は 835km となりました。 早朝から走り始めても、8時過ぎには夏日を感じるこの頃です、あまり強い日差しを浴びると頭痛になったりしますので、天候と体調には気を…

SANS Windows Artifact Analysis: Evidence of..ポスターの File Download の項目として E-Mail Attachments が2番目の項目として出てきます。 ここではOutlookを対象として書かれていますので、Outlookのメールボックスが通常置かれているパスとして以下が…

LastVisitedPidlMRU をサンプルで一つパースしてみましたが、Excelなどオフィス製品からファイルを保存した際には少し異なる値が出力されるようです。下記は Excel からファイルを名前を付けて保存した後に出来た値の先頭部分の抜粋になります。 7B 00 43 00…

SANS Windows Artifact Analysis: Evidence of..ポスターの最初の項目は File Download となっており、Open/Save MRU に含まれている OpenSavePIDlMRU を確認してみました。 ファイルダウンロードカテゴリには含まれていませんが、似たカテゴリにファイルオ…

更に続きのデータとしては、Page 5 2.2.4. Users 0x00 shell item が続きます。先頭2バイトがアイテムのサイズ、クラスタイプがあり、データサイズがかなり長いことが分かります。（ファイル名などはこのデータ範囲内に入ってきています）Page 5に従ってパー…

2.2.4. Users 0x00 shell item のデータをパースしてきていますが、下記のデータ部分は extension Block という事が分かりました。 2A 00 00 00 00 00 EF BE 00 00 00 20 00 00 00 0000 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0000 00 00 00 01 00 00 0…

梅雨時ですので、お外で自転車によるという訳にもいきません。雨が止んているタイミングで散歩に出かけたのですが、少しでも青空が出てくれると気分的には嬉しくなりますね。 ここ最近は Windows Shell Iten 構造を目視で読んでいるわけですが、試しているツ…

関東地方も梅雨に突入し、雨模様ですので自転車に乗れません。 仮想目的地までは残り 915km のままで変わってないのですが、この週末は乗れそうにありませんので、ローラー台で少しは運動しておきたいと思います。 近所迷惑になると良くないので、ローダー台…

2.2.4. Users 0x00 shell itemのデータをパースしてみます。 先のデータ構造により、{031e4825-7b94-4dc3-b131-e946b44c8dd5}（Users Libraries） が指定されていますので、この続きのデータについては 2.2.4. Users 0x00 shell item でパースしていきます。…

昨日のレジストリキー OpenSavePidMRU ですが、バイナリデータの構造となっており、その内容は Windows Shell Item 構造となっています。 一部パースするツールがこの構造をうまく読めず、正しく結果を得られないようですので内容を確認しておきたいと思いま…

SANS Windows Artifact Analysis: Evidence of..ポスターの最初の項目は File Download となっています。このカテゴリでは Open/Save MRU、E-mail Attachments、Skype History、Index.dat/Plases.sqlite、Download.sqlite と 6個のデータがリストアップされ…

SANSが提供しているポスターの一つに、Windows Artifact Analysis: Evidence of..というものがあります。 Community: Cheat Sheets DFIR "Evidence of..." Poster http://digital-forensics.sans.org/media/poster_fall_2013_forensics_final.pdf このポスタ…

Excelでタイムラインを扱うのは簡単ですが、もう少し可視化する方法としてSplunkを使う方法について詳細が下記URLの記事で紹介されています。 Forensic timeline Splunking Fast and powerful searching of timeline data http://kleinco.com.au/thoughts-ev…

今週は全然ロードバイクに乗る事ができていません。 今日は柴又100Kmというイベントがあるらしく、江戸サイも AM 6 時以降は走るのが困難そうでしたので、早朝に 35km だけ走ってきました。朝 4時起きで準備し、4時半には出発したのですが、戻ってきた 6時過…