え〜と、気のせいが若干耳が痛いんですけど（笑） yoggyさんが『どのようなファイルでもWAVファイルフォーマット形式で再生してしまうアプリケーション』を作成され以下のURLで公開されています。 FileSinging.exe http://www.t-dori.net/modules/bwiki/inde…

こちらは商用ですが、PGP Diskを探す機能もあるようですね。 Find Protected http://www.findprotected.com/

暗号化されたファイルの検出ツールがないものか探していて、たまたま見つけたのでとりあえずメモ。対応しているファイル形式について、パスワード保護されたファイルを検出してくれるツール。ベータ版？についてはフリーで使用することができるようです。 En…

なにげに、自宅PCの環境を Vista にしたんですけど、インストール中にインストール先のハードディスクが無いよ〜ってメッセージに、ディスク関連のデバイスドライバを探してきては認識を試すという不毛な作業を繰り返してました。 っていうか「Vistaだめぢゃ…

まだ読めてない本が多数あるなか、とりあえず「ドラゴンランス 魂の戦争 第二部 喪われた星の竜」を読み終えたので、何か他の本を読みたい今日この頃。 手元に届いている本では、「CD and DVD Forensics」をパラパラめくっていたりするわけですが、そういえ…

広島のセキュリティもじみの宴会でも似たようなことを話題にしていたかもしれませんが、暗号化されたデータを持つファイルを検出する良い方法ってあるもんでしょうかね？ 例えば、電子メールに添付されているファイルのうち、暗号化されたデータ部分を持つフ…

ZIPとか暗号化に利用するパスワードとかって、最近はリテラシーの向上により？（笑）長く複雑なものになっているのかもしれませんが、そうすると解除しにくくなって、セキュリティ面では向上しており嬉しいわけですけど、それを監査や調査しなければいけない…

いろいろ調べているというか聞いてまわっている感じでは、シチュエーションによるものの、基本的にeDiscoveryで収集したデータに暗号化されたり、パスワードで保護されたデータが存在する場合には、「それらを解除して確認」するのがあちらの国での運用にな…

日経IT Pro の記事になっていた気もするんですけど、時々電子メールにファイルを添付する際、ZIP形式でパスワードを付与し、そのパスワードを、別便っていうか次のの電子メールで送付されるケースがあります。収集したデータっていうか電子メールのなかにパ…

最近は、ファイルやデータを暗号、パスワード付きZIP、などで保護しているケースが多いと思うのですが、仮にこれらのデータを含んでeDiscoveryモジュールが収集したとすると、その後の弁護士さんや法務部門によるレビューをどのように実施するか素朴な疑問だ…

ということで、原稿書くのと同じ苦しみを感じつつ文書を作っていたところ、社内的にはクリスマスということもあり？「生クリームが・・・」とか「ピザが・・・」とか聞こえてきて集中力が乱れる...orz てというか気になって（笑）つい話題に入りたくなるとこ…

「電子開示」とか、「eDiscovery」とか「E-ディスカバリ」とかいろいろと書き方があるようですが、なかなか日本語の文献というのは数が少なくて、法律にウトイ私にはいろいろと壁がある分野です。とはいえ今日は EE の eDiscovery モジュールの文書を書いて…

あまりに日記書いてなかったもので、はてなへのログオンパスワードを忘れていたりした今日この頃...orz 毎度のことながら風邪を引くと長引くんですよねぇ、先週末にやっとマスクが外せたんですけど声を出すと若干イガイガするので、22日までになんとかしない…

インシデント・レスポンスの演習とかやると、rootkit などを発見したことで「終了」といった雰囲気になる場合がありますけど、実際には被害範囲の特定や、被害発生時期の確認とかのほうが復旧上は重要なわけですやね。そこで必要となるデータが得られるので…

なんだかんだ言いながら、仮にログが揃っているとしても、プロセス実行状況とTCP/IPの接続状況はあったほうが良いような気がしますね。でも、それ以外でどうしても必要な情報っていうとなんでしょうね？ 最近流行のメモリダンプ？、確かに取得できるのであれ…

揮発性情報の取得目的によりますが、怪しいものがいないか確認したいということであれば、そもそも『見えるのか？』という問題がありますね。 最近はすっかりメジャーになった？ rootkit ですが、昔のファイル置換により隠蔽するタイプではなく、正規のコマ…

の確認はしたほうがよい気がするので、ケーブル抜く前に ipconfig /all を実行したほうがよいのではないでしょうかね。っていうような話題を数年前に港139MLでやった気がするけど、ipconfig 実行するのであればついで kjm 先生お奨めの /displaydns オプショ…

いやぁここ本当に考えていただきたいところなんですが『その揮発性情報は本当に必要なんですか？』という事です。それだけ必要な情報であれば、ログに記録するようにしたほうが良いのではないでしょうか？ もしログに残らないとか、その時点での情報がどーし…

コマンド実行時に失われる可能性がある情報として、MACtime があります。MACtime も時間の経過と共に更新され失われますので、一種の揮発性情報だと個人的には考えています。タイムラインを追跡したことがある管理者であれば、MACtime の重要性は認識されて…

例えば、現在実行中のプロセス情報を確認するという目的であれば、タスクマネージャのプロセスタブから確認することができますが、ここで表示される情報には、調査や追跡で必要となる実行パスが抜けてます。あえて揮発性情報を取得するのであれば、それが追…

個人的にはいつも悩むのですが、実行中のプロセス情報とTCP/IPの接続状態、どちらのコマンド実行を優先すべきなんでしょうかね？ 揮発性の順序は“消えやすいものから”ですが、ここで考慮しておかなければいけないのは、コマンド実行後に情報取得に必要となる…

ITProの「今週のSecurity Check(第176回)」という記事を読んで、揮発性の順序やコマンドが人によって違うもんだなぁと改めて思ったのでちょっとメモしてみたり。 「Windowsマシンへの不正アクセスを発見」---そのとき，どうする？ Windowsにおける証拠保全の…

TSKとAutopsyの組み合わせで、Ext2 ファイルシステムの削除ファイルを表示する場合、ディレクトリエントリの情報からファイル名を、inode からメタ情報を取得しているようですので、inode 番号が 再利用され、かついずれのファイルも削除状態にあると、どち…

今回の実習でも狙ったかのように（笑）、調査対象としなければいけない一部の削除ファイルのエントリ情報として、以下のような inode 情報を表示するものがありました。 Pointed to by file: /5/etc/httpd/conf/httpd.conf~ (deleted) /5/root/nmap-3.81.tgz…

ちょっと気になったので、キーワード検索で文字列「pin.sh」を ASCII のみで検索してみたのですが、Fragment 137312 で pin.sh のディレクトリエントリの残骸と推測される以下の内容を確認することができました。 Hex Contents of Fragment 137312 in redhat…

sonodamさんが書かれている「調査中出てきたおもろネタ」のタイムラインですが、ネタバレしちゃうと*1 まず調査のきっかけというかネタ振りになっている .bash_history の一部が以下のような記述になっています。.bash_historyの記述内容 vi pin.sh sh -v pi…

園田さんと一緒に講師をさせていただいた、高度ポリテクセンターの「インシデントレスポンス（不正アクセス調査と対処）」コースですが、二日間無事に終了できました。受講された皆様お疲れ様でした！ 事前準備（ネタ仕込みとかもろもろ）を全然お手伝いでき…

Ext2 の場合、基本的な inode テーブルの構造は以下（実際はもう少し色々あるみたいですが）のようになっており、Autopys は Mode の値から in の値を表示しているようです。 Mode Owner info Size Time stamps Direct Blocks Indirect blocks Double Indire…

詳解Linuxカーネル 第2版 によると、Ext2 の場合には、ディレクトリエントリは以下の構造を持っているようです。 inode|エントリの長さ|名前の長さ|ファイルタイプ|ファイル名 Autopsy はディレクトリエントリに記録されているファイルタイプから、dir の値…

Autopsy の FILE ANALYSIS を使い、Ext ファイルシステムのファイル/フォルダを表示した際、表示項目として以下のような表示箇所があります。 Type dir/in Autopsy の HELP に書いてありますが、最初の dir 部分がディレクトリエントリの情報、in が inode …