@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

2017-08-01から1ヶ月間の記事一覧

9002 RAT と LNK

9002 RAT についての記事、persistence の仕組みとしては LNK ファイルを利用。 www.proofpoint.com スタートアップに UpdateCheck.lnk を作成、中身としては Powrshell を利用する仕組みとなっているようです。 プロパティを確認 バイナリを確認 スタートア…

APT28と HKCU\Environmentキー

FireEye社から APT 28に関するレポート「APT28 Targets Hospitality Sector, Presents Threat to Travelers」が出ており、下記で日本語に翻訳された関連記事も読めます。ただ、横展開に関する手法や Responder の仕組みについて扱われていますが、マルウェア…

Autopsy 4.4.1 タイムライン機能(4)

Web アクティビティ(Chrome) セキュリティキャンプ 2017の E4 トラック事前学習で作成した Chrome01_RAW.001 を Autopsy のタイムライン機能で確認。 実際に操作した内容は下記。 Googleで「セキュリティキャンプ」を検索 セキュリティキャンプのWebを参照…

Autopsy 4.4.1 タイムライン機能(3)

画像ファイルの EXIF 情報 タイムライン機能には、Exif 情報を利用する事もできる。インジェストモジュールとしては「Exif パーサ」を実行。 インジェストモジュールの実行結果は、「抽出されたコンテンツ」⇒「EXIFメタデータ」で確認ができる。テストデータ…

Autopsy 4.4.1 タイムライン機能(2)

コンテナファイルの扱い ZIP や RAR ファイルのコンテナ内に存在するファイルのタイムスタンプ情報のタイムラインでの取り扱いについて。 『埋め込みファイルの抽出ツール』モジュールを実行している場合、ZIP や RAR ファイルなどについては、下記図のよう…

Autopsy 4.4.1 タイムライン機能(1)

Autopsy のタイムライン機能 Timeline http://sleuthkit.org/autopsy/docs/user-docs/4.4.1/timeline_page.html サンプルのイメージファイルとしては、マイクロソフト社が提供している仮想マシンのイメージを利用しています。ブラウザの履歴なども確認してい…

Autopsy 4.4.1 埋め込み文書のキーワード検索

埋め込みオブジェクトが含まれる文書 Autopsy のキーワード検索において、文書内にオブジェクトが埋め込まれている場合にどの様な扱いになるかを確認。 サンプルデータとして、Word文書(DOCX形式)内に、動画ファイル(MOV)、JPEGファイル(2件のうち1件は…

Autopsy 4.4.1 疑わしいファイル機能

Autopsy 4.4.1 のベータ機能テスト Autopsy には事前に定義した「疑わしいファイル」を探すモジュールがあり、オプションメニューからルールセットの作成ができる。 Interesting Files Identifier Modulehttp://sleuthkit.org/autopsy/docs/user-docs/4.4.1/…

Autopsy 4.4.1 リリース

リリースノートを参照 バージョン 4.4.1 の変更点は下記に記載されています。幾つか新たな機能追加があります。https://github.com/sleuthkit/autopsy/releases/tag/autopsy-4.4.1 Beta version of new central repository feature has been added for corre…

Autopsy 4.4.0 におけるキーワード検索(Stem)

Autopsy のキーワード検索で、Stem を利用した検索が可能かを確認。 サンプルデータは Content-Encoding: windows-1252 として認識されているテキスト ファイル。また、サンプル文字列として、solr.PorterStemFilterFactory で例示されている文字列パターン…

Autopsy 4.4.0 におけるキーワード検索(二つのタブ)

Autopsy には「ストリング」と「インデクス化されたテキスト」と二つのタブが存在する。PDF や DOCX ファイルなどの場合、ストリングとインデックス化されたテキストではそれぞれ異なるテキストデータが表示される。 下記画像では、PDFファイルを処理した後…

Autopsy 4.4.0 におけるキーワード検索(Standard Tokenizer)

メールアドレスやドメイン名の区切り方 AutopsyのSolr用スキーマファイル schema.xml には、solr.StandardTokenizerFactory が定義されており、Apache Solr の Standard Tokenizer の動作については、下記ページを参照することで内容を確認できる。 https://…

Autopsy 4.4.0 における文書ファイル・メタデータの扱い(パスワード付き DOCX)

パスワードが設定されているDOCXファイルのメタ情報 文書ファイル(DOCX)にパスワードが設定されている場合に、Autopsy の「キーワード検索」でファイルのテキストがどの様に処理されているか。 パスワードを設定したDOCXファイルを処理した後、「インデッ…

Autopsy 4.4.0 における文書ファイル・メタデータの扱い(DOCX)

Autopsy はキーワード検索用のテキストファイルの抽出に、Apache Tika を利用しているが、ファイル形式により抽出されるメタ情報が異なる。 Office 形式ファイルのメタデータに関する情報は下記 URL に取得項目について記載がある。 Interface MSOffice http…