うちの会社って2008年11月から HBgary のトレーニングのパートナーシップ取っているんですよね。その関係で、今のところ6月に開催予定らしいのですが、日本でメモリフォレンジック的なトレーニングが予定されています。
Windowsライブメモリー・フォレンジックスとマルウェア解析
http://www.ji2.co.jp/training/hbgary/
詳しいトレーニング内容の詰めは、後ろの席の人が米国でトレーナーと打ち合わせに行っている最中なんですが、内容的にはシステム管理者の方とかでも、メモリ内からマルウェア見つけるとかそいう内容の予定らしいです。
あっしは補助者の予定ですが、補助をするにもお勉強しておかないといけないので、会社の引っ越し*1が終わったら(土日とかでなく平日の夕方とかに)勉強会とかやりたいところです。
早いもので2009年3月末でEnCEの更新期限になります。従来は2年間で更新だったのですが、昨年末に改定があり3年毎の更新になったようです。改定に気がつかずに古い条件の64時間の受講をクリアすべく米国出張してきたわけですが、まぁ勉強になったのでよしということで。
EnCE Application & Renewal
http://www.guidancesoftware.com/training/EnCE_app.aspx
とりあえず Renewal Form と受講した時の書類をスキャンしてメールで送信したので、あとは更新されたカードが届くのを待てばいいのかな?
ZIPファイルやOffice文書ファイルにはパスワードを設定することが可能ですが、フォレンジック調査などでパスワード付きのファイルを探したい時があります。EnCaseでは標準のスクリプト機能としてCase Processor =>Infomation Finders =>Find Protected Filesを使うことでZIPやOffice文書でパスワード設定されたファイルを検出することが可能です。*1
FTKなど他のツールも当然検出してくれるみたいですが、他にもパスワード保護付きのファイルを探すツールがないかを探してみところ以下のものがあるようです。
Find hidden password protected files with Find Protected
http://www.findprotected.com/solutions/it-administrators/find-protected-benefits.htm
Office 2007形式には未対応?、$180Encryption Analyzer
http://www.lostpassword.com/encryption-analyzer.htm
対応ファイルの種類が多い、フリー版もあるがProfessinalだと$295。Find Password Protected Documents
http://lastbit.com/FindPassword/default.asp
Office 2007形式にも対応、CSV出力も可能みたい、49ユーロ
対応ファイル形式の多いEncryption Analyzerのフリー版を試したんですけど、探したいファイルの種類を選択できないのかな?サポートしているファイル形式は無条件で調べるような動きです。OneNoteのファイルとかヒットしてくれるんですが、別にそいうのは探さなくてもいいんですけど・・・できれば検索するファイルの種別は指定したいなぁと思っていますが、単にお試しで購入するには$295は少し考えますね。個人的にはほとんど設定したことがないんですが、RARファイルのパスワード設定も検出するようです。
ちなみに以前はまったケースとして、ZIPファイルにパスワードが設定されている状態なのですが、実際はブランクパスワードが設定されていて、パスワード解除ツールがブランクパスワードに対応しておらず延々と解析を続けたってのがありました。圧縮ツールによってはZIPファイルのパスワードの設定としてブランクが設定できるみたいで...
*1:EF6.12.1のFind Protected FilesではOffice 2007形式でのパスワード保護されたファイルは検出しないようです
Office 2007の文書ファイル docx,xlsx,pptx などは、パスワードを設定せずにそのまま保存した場合には、ZIPファイルの形式になっています。*1ただし、「Office (2007) Open XML ファイル形式の概要」には以下の記述がありパスワード付きのZIPの形式は作られない様子です。
一部の ZIP アプリケーションでは、暗号化ファイルを作成することができます。新しいファイル形式では、暗号化ファイルは作成されません。暗号化されたファイルを読み取ろうとすると、ファイルの読み取りが中止され、エラーが返されます。
ということで?、Office 2007で文書ファイルにパスワードを設定すると違う(従来型?)フォーマットが利用されることになります。
まず、パスワード設定がない xlsx ファイルの先頭ヘッダ部分を16進数で見るとこんな↓感じですね。\x50 \x4B の部分が文字列“PK”となり、ZIPファイルのヘッダと同じになります。
50 4B 03 04 14 00 06 00 08 00 00 00 21 00 71 0E 39 2B 70 01 00 00 A0
これに対して、パスワードが設定されている .xlsx ファイルは以下のヘッダを持っています。
D0 CF 11 E0 A1 B1 1A E1 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
詳しく調べていませんが、旧バージョンと同じバイナリファイルの構造を使っているんでしょうかね?、かなり大雑把な判定を考えると拡張子が Office 2007 形式で、ファイルヘッダが PK 以外のファイルはパスワード設定がされている文書ファイルというフィルタでも案外いけるような気がしています。
Word 2007、Excel 2007、PowerPoint 2007 で既定の暗号化プロバイダを変更する方法
http://support.microsoft.com/kb/937914/ja
Word 2003、Word 2002、Word 2000 で互換機能パックを使用して Word 2007 文書の文書保護を解除する時にパスワードの入力を要求されない
http://support.microsoft.com/kb/935282/ja
試していませんが、読み取り時にはもちろんパスワード要求するんですよね?>互換機能パック
*1:Office (2007) Open XML ファイル形式の概要 http://msdn.microsoft.com/ja-jp/library/aa338205.aspx
