コンピュータフォレンジックにちょっとだけ触れてみる
DESCRIPTION
2014年6月20日に開催された勉強会 OpenIL Vol2内で使用されたスライド資料。TRANSCRIPT
コンピュータフォレンジック?
● パソコンとかの機器のログやら状態やらを詳細に調査して、何が起こったかを立証する証拠集め(法的な意味で)
● フォレンジックには鑑識という意味もある● 意訳すると、デジタル鑑識
コンピュータフォレンジック?
● パソコンとかの機器のログやら状態やらを詳細に調査して、何が起こったかを立証する証拠集め(法的な意味で)
● フォレンジックには鑑識という意味もある● 意訳すると、デジタル鑑識● というのがIT用語辞典とかwikipediaとかに書い
てある。
具体的に何を見る?
● いろんな設定○ たとえばネットワークの設定やらグループポリシーやら。
● HDDに記録されてるログ○ イベントログ、レジストリ、プリフェッチとか
● メモリのダンプ
とりあえず今回はこの辺を見る。
フォレンジックに使える道具たち
● Sysinternals Suite● The Coroner’s Toolkit● Sleuth Kit & Autopsy● userassist● winprefetchview● volatility● dumpit● ftkimager
フォレンジックに使える道具たち
● Sysinternals Suite● The Coroner’s Toolkit● Sleuth Kit & Autopsy● userassist● winprefetchview● volatility● dumpit● ftkimager
赤字のものを触ってみます。
フォレンジックに使える道具たち
● Sysinternals Suite● The Coroner’s Toolkit● Sleuth Kit & Autopsy● userassist● winprefetchview● volatility● dumpit● ftkimager
赤字のものを触ってみます。
UserAssist(レジストリ)プリフェッチ
メモリの解析
UserAssist
● レジストリに記録されてるもの● 使ったアプリケーションの履歴が記録されてる
○ パス、実行回数、時間…● HKEY_CURRENT_USER\Software\Microsof
t\Windows\CurrentVersion\Explorer\UserAssist\
ROT13
ROT13 または ROT-13、rot13 は単換字式暗号(シーザー暗号)の一つである。アルファベットを一文字毎に13文字後のアルファベットに置き換える。Aは Nに、 B は O に置き換えられ、以下同様である。英語の "Rotate by 13 places" の略(ry
wikipediahttp://ja.wikipedia.org/wiki/ROT13
プリフェッチ
● Windows(XP以降)には、プリフェッチというアプリケーション起動速度向上のための仕組みがある
● 「%SystemRoot%\Prefetch」というプリフェッチフォルダに、「.pf」という拡張子のファイルがある。
volatility
インストールはここ見て頑張る
https://code.google.com/p/volatility/wiki/FullInstallation#Installation_Prerequisites
結構面倒
pythonの3じゃ動かない
64bitのpyhton2.7だとだめかも?
多分準備するならLinuxのほうが楽。
自分のPCで解析しようと思ったけど…
Windows7までしか対応してなかった。(手元のPCはWindows8.1)
>Support for Windows 8, 8.1, Server 2012, 2012 R2, and OSX 10.9 (Mavericks) is either already in svn or just around the corner, so stay tuned for our next release!https://code.google.com/p/volatility/