@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

USN Analytics と Folder

Forensicistさんが、USN Analyticsツールを公開されています。USN Analytics ツールは、$J をパースするだけでなく、フォルダ構造も解析してくれます。 つまり、$MFT ファイルを利用せずに、フォルダ構造をある程度再現できます。 サンプルのフォルダ構造を…

Fixup と Update Sequence Number

NTFS の Fixup 値と update sequence について確認します。Fixup については NTFS Documentation を参照します。 サンプルの画像ファイル coin.jpg を E: ドライブへコピーし、MFT ファイルでFile レコードを確認します。coin.jpg ファイルの File レコード…

$INDEX_ALLOCATION (0xA0)とVirtual Cluster Number (VCN)

「Folderと$BITMAP (0xB0)」の続きです。 Windowsフォルダの $BITMAP (0xB0) は下記の状態です。VCN 0 から VCN 5 までが利用されている事を確認できます。 3F 00 00 00 00 00 00 00↓ 0 0 1 1 1 1 1 1 ⇒ Bitmap ⇒ クラスタの利用状況 LCNとVCNの関係は下記と…

Folderと$BITMAP (0xB0)

フォルダの$BITMAP属性について確認します。 まず、「Windows」フォルダのMFTレコード番号(FILEレコード番号)を確認します。 $MFT内でオフセット1375232に移動し、$Bitmap属性を探します。 $INDEX_ROOT (0x90)があります。$I30という名前が設定されていま…

Win10 と Thumbnail Index

Windows 10 1709 環境の Thumbnail Index ファイルを確認します。残念ながら、不完全なパース結果となっています。 サンプルファイル thumbcache_idx.db を参照します。ファイルフォーマットについては、「Windows Explorer Thumbnail Cache database format…

Windows 10とThumbnailCacheId

Windows 10 ver 1709 環境上における、ThumbnailCacheId とサムネイルキャッシュの関係を確認します。 キャッシュされているサムネイルデータをThumbcache Viewer を使い確認します。 thumbcache_768.db内には2件の画像がキャッシュされています。 C:\Users\…

Win10 と Thumbnail Cache

Windows 10 1709 環境の Thumbnail Cache ファイルをテストします。サンプルの JPEG画像をPreview Paneで表示します。 ユーザーのプロファイルフォルダ配下に、thumbcacheファイルが作成されている事を確認します。 C:\Users\forensics\AppData\Local\Micros…

EventLogとEVTX

eventlogedit が利用されると、イベントログ内で個別のレコードが削除されます。 下記Blogでは、eventlogeditがレコードを削除する仕組み、検出ツールとサンプルのEVTXファイルが紹介されています。 blog.fox-it.com サンプルEVTXファイルの内容を確認したい…

RegistryとTransaction log files

Windows 10 環境で取得した ntuser.dat.LOG1 ファイルのデータ内容を確認します。 ファイルフォーマットについては「Windows registry file format specification」のNew format を参照しています。 ファイルの先頭 512バイトは、Base block となっており、N…

RegistryとFile format(3)

レジストリから値を削除し、変化を確認します。サンプルとして、HKEY_CURRENT_USER\Environment 配下にUserInitMprLogonScript値を作成します。この値はAPT28で自動起動の手口としても利用されています。 この値のオフセット位置を確認します。 Registry Exp…

RegistryとFile format(2)

前回の続きです。ROOTキー(nk)のサブキーを確認します。ROOTキー配下に、サブキーは 9個あります。 ROOTキーのCELL内容から、サブキーのリストはオフセット位置 72,288(4096 + 68,192)である事を確認できます。 09 00 00 00 Number of subkeys ⇒ 901 00 00…

RegistryとFile format(1)

レジストリのバイナリ構造について確認します。レジストリファイルの構造については、「Windows registry file format specification」の資料を参考にします。 サンプルのレジストリファイルは Windows 10 のNTUSER.DAT を利用します。 Base Block 72 65 67 …

USN Journal と Timestamp

タイムスタンプを変更した場合の、USN ジャーナルの動作について確認してみます。検証環境は Windows 10 1709 です。 E:ドライブに crocodile.jpg ファイルをコピーし、USN Journal を確認します。 fsutil usn readjournal e: csv > output.csv Autopsy で $…

RegisterXLLとAutoruns

トレンドマイクロ社のブログ「ChessMaster’s New Strategy: Evolving Tools and Tactics」には下記の記述があります。 The Powershell script leverages RegisterXLL, which is a component of Excel, to load BKDR_ANEL into Excel.exe マルウェアは Excel …

Win 10 と sdelete

Windows 10 ver 1709 上での sdelete コマンドの動作について。 Sdelete コマンドについては、Kazamiya さんが「SDelete | Forensicist」に詳しく整理されていますので、そちらを参照ください。 Picturesフォルダに JPEG ファイルを置いてあります。このボリ…

Rundll32 と Prefetch

Rundll32.exe を利用した DLL 実行と、プリフェッチファイルの関係について確認してみます。テストした環境は Win 10 1709 Build 16299.15 です。 DLL ファイルには、Didier Stevens さんの作られた cmd.dll を利用します。 Rundll32 Windows\Prefetch フォ…

$LogFile (2) と Defrag

NTFSボリューム F: 上でデフラグを実行した場合に、$LogFile に記録される内容を確認してみます。 サンプルの画像ファイル crocodile.jpg のメタ情報を確認します。クラスタ番号 34848 からデータが配置されています。 $STANDARD_INFORMATION Attribute Valu…

$LogFile (1)

NTFS には $LogFile があります。$LogFile を調べることで、ファイルシステム上で何か変化したかをより詳細に調べる事が可能です。 テストファイルの作成 Windows 10 環境上で VHD ディスクを作成し、USN ジャーナルを有効にします。 C:\Windows\system32>fs…

USN と range tracking

fsutil コマンドの「enablerangetracking」オプションを確認してみます。テスト環境は Windows 10 です。 この機能については、マイクロソフト社の下記URLで説明されています。 Tracking modified ranges of a file より引用 The NT File System (NTFS) team…

$JとUSN

NTFS USN Jornal の確認用として、新規にVHDディスクを作成し、NTFSでフォーマットします。下記図ではF:ドライブが新規に作成したNTFSボリュームになります。 fsutil コマンドを利用し、ジャーナルの状態を確認します。F:ドライブに USN ジャーナルは設定さ…

CCleaner と GB2312

Talosの記事には、マルウェアにより収集されたデータのスクリーンショットが掲載されています。 Cisco's Talos Intelligence Group Blog: CCleaner Command and Control Causes Concern より部分的に引用 In addition, the compromised machines would share…

Security Id と $Secure

Security IDと$Secureの関係について確認します。[注意事項]一部は不完全なパース結果となっています。 最初にサンプルファイル(crocodile.jpg)のアクセス権を確認します。 ファイル crocodile.jpg のSecurity IDを確認します。Security ID 値は $STANDARD…

SessionEnvとTSMSISrv.dll

CCleaner version 5.33.6162 に関して下記レポートが出ています。このレポートでは、Persistenceの仕組みとしてマルウェアがサービスを利用している事を説明しています。 Progress on CCleaner Investigation より引用The second part of the payload is res…

$ObjId と $O

Penguin.jpg の ObjectID を、$ObjId 内で確認します。 $ObjId は $Extend フォルダ配下にあります。 MFTレコード番号 25 を$MFT内で参照します。0x90 $INDEX_ROOTを確認できます。 0x00006500: 90 00 00 00 A8 00 00 00 00 02 18 00 00 00 02 00 ..........…

NTFS $OBJECT_ID と Removable

NTFS $OBJECT_ID (0x40) に関する基本情報は、Kazamiya さんが書かれている「ObjectID アーティファクト」を参考にしてください。 Windows 10環境上で、USBメモリ内のファイルを参照した場合に、ObjectIDが作成されるか確認します。 Windows 10 へ USB メモ…

$INDEX_ROOT と $I30

$I30のバイナリ構造を確認します。 Autopsyで Pirctures フォルダの File Metadata を確認します。「$INDEX_ROOT (144-1) Name: $I30」が Resident として存在している事を確認できます。 From The Sleuth Kit istat Tool: MFT Entry Header Values: Entry: …

WMIとsysmon v6.10

Sysmon v6.10 が 9/11 にリリースされ、WMI Filterとconsumersがモニタリング出来るようになったようです。 3つのイベントIDが追加されています、登録を検出するようですね。 Sysmon - Windows Sysinternals | Microsoft Docs より引用 Event ID 19: WmiEven…

NTFS $I30 と Deleted record

NTFS $I30 内に、削除レコードを作成してみます。 サンプル用にフォルダPicturesを作成します。 次に、削除レコードとして残したいファイルをPicutresフォルダへコピーします。ファイル名は、名前でソートした場合、最後に表示される名前にしておきます。 今…

C2とWeb Storage

「New Pacifier APT Components Point to Russian-Linked Turla Group」のレポート内には、Webブラウザのキャッシュを利用するマルウェアの話題が記載されています。 https://media.scmagazine.com/documents/314/bitdefender-whitepaper-pacifie_78483.pdf …

Rehashed RATとDLL Hijacking

Fortinet から DLL ハイジャックを利用する Rehashed RAT に関するレポートが出ています。 blog.fortinet.com 自動起動として Run キーを利用します。Runキーに登録されるファイルには、幾つかパターンがあるようです。Run キー内に Systemm.exe(50fcc5c822a…