SANS Windows Artifact Analysis: Evidence of..ポスターの最初の項目は File Download となっており、Open/Save MRU に含まれている OpenSavePIDlMRU を確認してみました。 ファイルダウンロードカテゴリには含まれていませんが、似たカテゴリにファイルオ…

更に続きのデータとしては、Page 5 2.2.4. Users 0x00 shell item が続きます。先頭2バイトがアイテムのサイズ、クラスタイプがあり、データサイズがかなり長いことが分かります。（ファイル名などはこのデータ範囲内に入ってきています）Page 5に従ってパー…

2.2.4. Users 0x00 shell item のデータをパースしてきていますが、下記のデータ部分は extension Block という事が分かりました。 2A 00 00 00 00 00 EF BE 00 00 00 20 00 00 00 0000 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0000 00 00 00 01 00 00 0…

梅雨時ですので、お外で自転車によるという訳にもいきません。雨が止んているタイミングで散歩に出かけたのですが、少しでも青空が出てくれると気分的には嬉しくなりますね。 ここ最近は Windows Shell Iten 構造を目視で読んでいるわけですが、試しているツ…

関東地方も梅雨に突入し、雨模様ですので自転車に乗れません。 仮想目的地までは残り 915km のままで変わってないのですが、この週末は乗れそうにありませんので、ローラー台で少しは運動しておきたいと思います。 近所迷惑になると良くないので、ローダー台…

2.2.4. Users 0x00 shell itemのデータをパースしてみます。 先のデータ構造により、{031e4825-7b94-4dc3-b131-e946b44c8dd5}（Users Libraries） が指定されていますので、この続きのデータについては 2.2.4. Users 0x00 shell item でパースしていきます。…

昨日のレジストリキー OpenSavePidMRU ですが、バイナリデータの構造となっており、その内容は Windows Shell Item 構造となっています。 一部パースするツールがこの構造をうまく読めず、正しく結果を得られないようですので内容を確認しておきたいと思いま…

SANS Windows Artifact Analysis: Evidence of..ポスターの最初の項目は File Download となっています。このカテゴリでは Open/Save MRU、E-mail Attachments、Skype History、Index.dat/Plases.sqlite、Download.sqlite と 6個のデータがリストアップされ…

SANSが提供しているポスターの一つに、Windows Artifact Analysis: Evidence of..というものがあります。 Community: Cheat Sheets DFIR "Evidence of..." Poster http://digital-forensics.sans.org/media/poster_fall_2013_forensics_final.pdf このポスタ…

Excelでタイムラインを扱うのは簡単ですが、もう少し可視化する方法としてSplunkを使う方法について詳細が下記URLの記事で紹介されています。 Forensic timeline Splunking Fast and powerful searching of timeline data http://kleinco.com.au/thoughts-ev…

今週は全然ロードバイクに乗る事ができていません。 今日は柴又100Kmというイベントがあるらしく、江戸サイも AM 6 時以降は走るのが困難そうでしたので、早朝に 35km だけ走ってきました。朝 4時起きで準備し、4時半には出発したのですが、戻ってきた 6時過…

会社や組織は成長や衰退を繰り返していきますが、衰退については組織中にいると中々気がつかない部分があったりするかと思います。ビジョナリーカンパニー③では、そんな企業や組織の衰退の過程について分かりやすく説明されている書籍になります。 ビジョナ…

Log2timeline Ver 0.66 に含まれているパーサとして ftk_dirlisting（Parse the content of a CSV file that is exported from FTK Imager (dirlisting)）があります。 FTK Imagerでディレクトリリストを作成し、それをパースする事が出来るようですので、確…

Log2timeline Ver 0.66 に含まれているパーサとして mft（Parse the content of a NTFS MFT file）があります。NTFS のマスターファイルテーブルをパースする為のものですが、単体で使った場合の状況を確認しておきたいと思います。 サンプルとして、NTFSフ…

Log2timeline.py(Plaso）または Ver 0.66 のパーサをこれまで試してきました。 全てのパーサをテストしてはいませんが、ここまでテストした結果を整理しておきたいと思います。 なお、SIFT 3.0 環境とテストデータによる結果ですので、処理するデータや環境…

Log2timeline.py(Plaso）または Ver 0.66 で作成した CSV 形式のタイムラインは Excel などで開く事が出来ます。そのまま Excel で取り扱う事もできますが、SANS から項目により色分けし見やすくするためのExcel テンプレートファイルが提供されています。 D…

Log2timeline.py(Plaso）のパーサリストの所在を確認しておきたいと思います。 log2timeline.py --info でパーサのリストを取得できます。このリストには個別のパーサだけでなく、事前に定義されている linux や win7、winxp といったものがあります。複数の…

いわゆる遠隔操作事件も犯人が自白するという事で幕引きに向かっているようですが、この事件ではデジタルデータの取り扱いが話題になっています。 個人的には本件に関わらず最近のケースでは大抵デジタルデータが何かしら関係していて、この件だけを問題視す…

本日はお昼前に予定があった為、朝のうちに 50km ほどサイクリングしてきました。 距離的には短い為、平均移動速度をどの程度上げる事ができるか？という点で平均 25km を目標に漕いでみましたが、結果としては平均移動速度は 23km という結果でした。休憩時…

SIFT 3.0 に含まれている l2t_process ver 0.2 の具体的な実行結果について確認してみたいと思います。（l2t_process.pyではないので注意してください） 読み込み時の日付フォーマットをMM-DD-YYYYではなくyyyy-mm-ddで読む形式に変更する(-y) Keywordファイ…

Log2timeline（Plaso）のパーサモジュールではなく、出力結果の取り扱いについて確認しておきたいと思います。Plaso には psort.py が提供されており、Plasoストレージを対象にソート処理などを行う事ができます。これはすでに試してみていますので、以下 l2…

Log2timeline（Plaso）には含まれていませんので脱線した話題になりますが、Ver 0.66 には jp_ntfs_change（Parse the content of a CSV output file from JP (NTFS Change log) というパーサが提供されています。 これは、NTFS のジャーナルファイル $UsnJr…

Log2timeline（Plaso）にはWindows FireWallのログファイルをパースする WinFirewallParser（Parses the Windows Firewall Log file）が、Ver 0.66 には xpfirewall（Parse the content of a XP Firewall log）が提供されています。 まずPlasoの WinFirewall…

Log2timeline（Plaso）にはタスクスケジューラのジョブファイルをパースする WinJobParser（Parse Windows Scheduled Task files for job events）が提供されています。このパーサは Ver 0.66 では提供されていないものです。 タスクスケジューラのジョブフ…

本日は予定通り約 80km ほど江戸川サイクリングロードを走ってきました、仮想ゴールの桜島までは残り約 1,000km ということになります。 午後からは Kindle Paperwhite で読書でもと思い、オーナーズライブラリを見ていたところ、「夢をかなえるゾウ」を見つ…

自転車に乗るにはちょうど良い季節に入っていますが、昨年ほとんど乗れていなかった RNC3 を最近引っ張り出してきてサイクリングロードを走っています。 04/27 50km 04/28 70km 05/02 100km 05/16 80km 05/17 25km これまでのところ累積距離としては約325km …

Log2timeline（Plaso）の SkyDrive（現在のOneDrive）のパーサ SkyDriveLogParser(Parse SkyDrive log files.)を試してみたいと思います。 SkyDrive（現在はOneDrive）については、データ同期用のフォルダが C:\Users\<ユーザー名>\OneDrive に作成されます…

Log2timeline（Plaso）には、クラウドストレージに対応したプラグインとして、GoogleDriveParser（Parser for Google Drive snapshot.db files）と、SkyDriveLogParser（Parse SkyDrive log files）の二つが提供されています。これら二つのパーサは Ver 0.66…

Log2timeline（Plaso）の PcapParser（Parses PCAP files）に続き、Ver 0.66 の pcap パーサについても試してみたいと思います。 root@siftworkstation:/cases# log2timeline -f pcap -r -o csv -z UTC -log out1.log -w pcaptimeline066.txt /cases/pcap/ …

Log2timeline（Plaso）と Ver0.66 には、PCAPファイルをパースする PcapParser（Parses PCAP files）、pcap が提供されています。 これまでに試したパーサはいずれもディスク上に存在しているデータがパース対象になっていましたが、これらはネットワーク上…