SIFT 3.0 に入っている log2timeline は 2種類ありますが、Plaso と version 0.66 でのような差異があるかを確認してみたいと思います。 Plasoと比較すると 0.66 はパーサーが豊富です。Plasoではパーサのリストを表示するには --info でしたが、0.66 では -…

これまでplasoベースの log2timeline.py を使ってきてみましたが、イベントログのパースが期待した内容と少しずれている気がする為、SIFT 3.0 に入っている log2timeline version 0.66 を試してみたいと思います。 root@siftworkstation:/cases# log2timelin…

WinEvtxParser(Parses Windows XML EventLog (EVTX) files)を試してみましたが、出力形 L2tcsv では読みにくいと感じています。そこで、今回は psort で加工する方法について確認してみます。 まず、log2timelineのアウトプットモジュールについては、（--in…

WinEvtxParser(Parses Windows XML EventLog (EVTX) files)を試してみたいと思います。EVTX形式ですのでWindows Vista以降で使われている現時点では最新のイベントログファイル形式になります。 C:\Windows\System32\winevt\Logs\System.evtx ファイル単体を…

WinEvtParser(Parses Windows EventLog (EVT) files)を試してみたいと思います。EVT形式ですのでWindows XPなどで使われていたイベントログファイル形式になります。 root@siftworkstation:/cases# log2timeline.py --parsers WinEvt --output L2tcsv --logf…

OpenXMLParser(Parse metadata from OXML files)を試してみたいと思います。 昨日は2003形式まででしたが、こちらはそれ以降の2007形式、docx,xlsx,pptx などがパースの対象になると思われます。（OpenOfficeとかも対応しているのかは未確認です） root@sift…

OleCfParser(Parses OLE Compound Files (OLECF))を試してみたいと思います。OLE複合ファイルのタイムスタンプを取るという事ですので、いわゆるOffice 2003までの形式ファイル、doc,xls,ppt などがパースの対象になると思われます。 root@siftworkstation:/…

Log2timeline(Plaso)で引き続きパース結果を確認したいと思います。 SQlite3 DB を使っているアプリケーションとしては、Google Chromeもありますので試しに Chrome ブラウザのデータをパースしてみたいと思います。 パーサーとしては --parsers ChromeHisto…

Log2timelineを使って個別アーティファクトのタイムラインを CSV 形式で確認していきたいと思います。 日本語の扱いが気になりますので、まずは試しに Skype のデータをパースしてみたいと思います。準備したのは日本語版Windows上で使っているSkypeデータベ…

SANS SIFT Workstation 3.0をやっとダウンロードできましたので、最近 sonodam さんと話題になったタイムラインについて少し確認したいと考えています。 SIFTにはMantarayが入っていますので、イメージファイル（例えば E01ファイル）を指定して Super Timel…

SANS Forensics Blogで紹介されている CrowdResponse の基本機能を確認してきましたが、最後にレポートの変換ツール CRconvert.exe を見ておきたいと思います。 CrowdResponseは出力結果を XML 形式で出力します。そのまま読む事もできますが、XMLを CSV,TSV…

SANS Forensics Blogで紹介されている CrowdResponse ですが、Yara のスキャンが可能ですので、Yara のルール部分を確認したいと思います。 yara http://plusvic.github.io/yara/ The pattern matching swiss knife for malware researchers (and everyone e…

SANS Forensics Blogで紹介されている CrowdResponse を引き続き見ていきたいと思います。 マニュアルでは 12ページからサブツールの @yara の説明が始まります。残念ながら私はYaraの利用経験がありませんので、間違って書いている部分があるかもしれません…

SANS Forensics Blogで紹介されている CrowdResponse を少しずつ見ていきたいと思います。 マニュアルでは 11ページからサブツールの @PSlist の説明が始まっています。実行中プロセスに関する詳細なメタデータやハッシュ値などを提供してくれるという機能の…

SANS Forensics Blogで紹介されている CrowdResponse を少しずつ見ていきたいと思います。インシデント・レスポンス用のツールで、基本的にはWindows XP以降の環境に対してセキュリティ情報を収集する？コマンドラインツールという位置付けのようです。 サポ…

Forensic Focusのフォーラムで出ている話題ですが、セキュアブートについて最近の状況をメモしておきたいと思います。 CD-ROMやUSBなど別媒体からOSを起動し、HDDへの書き込みを禁止した状態でディスクのイメージを取るという方法があります。例えば、WinPE…

SSDディスクについては、削除されたデータの復元が難しいというお話が2010年頃にはすでに出ていますが、最近の状況も踏まえて少し確認してみたいと思います。 Solid State Drives: The Beginning of the End for Current Practice in Digital Forensic Recov…

NTFSで不良ブロックを管理している$BadClusファイルですが、NTFS DocumentationのP 58に詳細が説明されています。 ＄BadClusは名前付ストリームとして$Badを属性として持っており、$Badファイルはボリュームと同じサイズを持っています。このファイルを誤っ…

ハードディスク上に不良セクタが発生すると、該当セクタがエラーになる事がOS側に通知されます。HDD内部では代替セクタのマッピングが自動的に行われ、そのセクタが利用可能になった場合でも、OS側でも不良クラスタの情報を管理しているので、HDDと情報が一…

ハードディスクのセクタサイズが512から4096になっていくというお話は以前からあるわけですが、最近の状況を確認してみました。 Advanced Format (または512E）のディスクが市場に出てきた時に検証した事がありますが、その後あまり気にしていなかったのです…

SIFT Ver3.0 に含まれるソフトウェアですが、以前から含まれている古典？ツールとしては The Sleuth Kit があります。 最新バージョンでの変更履歴については、下記で確認する事ができるますが最新版は4.1.3になっています。SIFT 3.0 に含まれているバージョ…

SIFT Ver3.0のSoftware Includeで他に気になる点として、ライブラリ関連を確認しておきたいと思います。SANS Blogに記載があるライブラリ関連は下記になっています。 libbde https://code.google.com/p/libbde/ Library and tools to access the BitLocker D…

SANS から SIFT 最新版 Ver 3.0 がリリースされていますね。 SANS SIFT Kit/Workstation: Investigative Forensic Toolkit Download Key new features of SIFT 3.0 include: Ubuntu LTS 12.04 Base 64 bit base system Better memory utilization Auto-DFIR …

ディスク上にある notepad.exe の先頭 4096byte と、メモリイメージからカービングした notepad.exe の先頭 4096byte を比較すると、Image Baseの値が異なっている事から MD5 ハッシュ値では一致しない事が確認できました。（実際には、先頭から 1024byte 範…

Procexedump プラグインで取り出した EXE ファイルを PeStudio で更に確認してみたいと思います。 PEヘッダのFile HeaderにはTimeDateStamp値があり日付情報が含まれています、この値まで含めた正規表現パターンを作成して APT.IMG に検索してみます。 \x4D\…

メモリイメージの中から実行ファイルの取り出しを行う方法として、古典的な手法はファイルのシグネチャを指定してパターンで切り出す方法があります。代表的なツールとしては、Foremost や Scalpel を使い、EXEファイルのヘッダパターンを使う方法があります…

bulk_extractor が検出した winpe.txt ファイル内の情報にはハッシュ値が含まれています。マニュアルによると、このハッシュ値は 4096byte 分だけで計算されているという事です。 実験として、EXEファイルのシグネチャをベースに、ヒットした位置から 4096バ…

Volatiliry 以外のツールを使って、APT.IMG のメモリイメージ内からファイルの取り出しについても考えていきたいと思います。 カービングする方法もありますが、まずは bulk_extractor を使ってみたいと思いますので、ここでは Windows 版の bulk_extractor …

先日、Mandiant Redline のバージョン 1.11.1 がリリースされたというアナウンスメールが届きましたので、早速気になっていた点を試してみました。 https://www.mandiant.com/resources/download/redline SANS の APT.IMG を最新版の1.11.1 で解析した結果が…

やや脱線する事になりますが、Volatility にはメモリイメージからファイルを取り出すプラグインとして、dumpfiles プラグインもあります。 このプラグインを使うことで、メモリ上にキャッシュされているファイルのデータを取り出す事ができるようですので、…