コンピュータフォレンジックにちょっとだけ触れてみる
DESCRIPTION
2014年6月20日に開催された勉強会 OpenIL Vol2内で使用されたスライド資料。TRANSCRIPT
コンピュータフォレンジックにちょっとだけ触れてみる
OpenIL vol.2松本聡
自己紹介
名前
松本聡(rarere)
仕事
インフラ方面
とある勉強会
せきゅぽろナイトセミナー♯10インシデントレスポンスにおけるフォレンジック
実際にやってみました。
一部拡大
そのときのおやつ
きのとやチーズタルト
きのとやチーズタルト
通販も可http://www.kinotoya.com/shop/
目次
● コンピュータフォレンジック?● どうやってやる?● やってみる
コンピュータフォレンジック?
コンピュータフォレンジック?
● パソコンとかの機器のログやら状態やらを詳細に調査して、何が起こったかを立証する証拠集め(法的な意味で)
コンピュータフォレンジック?
● パソコンとかの機器のログやら状態やらを詳細に調査して、何が起こったかを立証する証拠集め(法的な意味で)
● フォレンジックには鑑識という意味もある
コンピュータフォレンジック?
● パソコンとかの機器のログやら状態やらを詳細に調査して、何が起こったかを立証する証拠集め(法的な意味で)
● フォレンジックには鑑識という意味もある● 意訳すると、デジタル鑑識
コンピュータフォレンジック?
● パソコンとかの機器のログやら状態やらを詳細に調査して、何が起こったかを立証する証拠集め(法的な意味で)
● フォレンジックには鑑識という意味もある● 意訳すると、デジタル鑑識● というのがIT用語辞典とかwikipediaとかに書い
てある。
コンピュータフォレンジック?
すごくざっくりとした説明なので、ネットエージェントさんのサイトとかwikipediaとかいろいろ見てください。
フォレンジックでぐぐるとデジタルフォレンジックが
上にでてくる
デジタルフォレンジック?
コンピュータフォレンジック?
パソコンのフォレンジックするのがコンピュータフォレンジック(デジタルフォレンジックとも)
ネットワークフォレンジックというのもある(パケット見たり)
文献によってさまざまなようなので、今回は同じ意味ということに
しておいてください。
具体的に何を見る?
● いろんな設定○ たとえばネットワークの設定やらグループポリシーやら。
● HDDに記録されてるログ○ イベントログ、レジストリ、プリフェッチとか
● メモリのダンプ
とりあえず今回はこの辺を見る。
どうやってやる?
OSSとかで、それができるものがある。
フォレンジックに使える道具たち
● Sysinternals Suite● The Coroner’s Toolkit● Sleuth Kit & Autopsy● userassist● winprefetchview● volatility● dumpit● ftkimager
フォレンジックに使える道具たち
● Sysinternals Suite● The Coroner’s Toolkit● Sleuth Kit & Autopsy● userassist● winprefetchview● volatility● dumpit● ftkimager
赤字のものを触ってみます。
フォレンジックに使える道具たち
● Sysinternals Suite● The Coroner’s Toolkit● Sleuth Kit & Autopsy● userassist● winprefetchview● volatility● dumpit● ftkimager
赤字のものを触ってみます。
UserAssist(レジストリ)プリフェッチ
メモリの解析
UserAssist
UserAssist
● レジストリに記録されてるもの● 使ったアプリケーションの履歴が記録されてる
○ パス、実行回数、時間…● HKEY_CURRENT_USER\Software\Microsof
t\Windows\CurrentVersion\Explorer\UserAssist\
UserAssist
レジストリエディタで確認
UserAssist
一部拡大。
よくわからない文字列
日本語はそのまま
ROT13という
暗号化処理された
文字列
ROT13
ROT13 または ROT-13、rot13 は単換字式暗号(シーザー暗号)の一つである。アルファベットを一文字毎に13文字後のアルファベットに置き換える。Aは Nに、 B は O に置き換えられ、以下同様である。英語の "Rotate by 13 places" の略(ry
wikipediahttp://ja.wikipedia.org/wiki/ROT13
ROT13
http://ja.wikipedia.org/wiki/ROT13
UserAssist
こんな感じの
バイナリ値で
保存されてる
UserAssist
赤:実行回数
青:時間
UserAssist
わからん
UserAssist
見てくれるツールあるよ!
UserAssist
デモ
プリフェッチ
プリフェッチ
● Windows(XP以降)には、プリフェッチというアプリケーション起動速度向上のための仕組みがある
● 「%SystemRoot%\Prefetch」というプリフェッチフォルダに、「.pf」という拡張子のファイルがある。
プリフェッチ
http://windows.microsoft.com/ja-jp/windows-vista/what-is-the-prefetch-folder
プリフェッチ
● 実行ファイル● ファイルパス● 実行時間● 実行回数● 関係しているファイル
などがわかる
プリフェッチ
フォルダを閲覧
プリフェッチ
プリフェッチ
バイナリのどの部分が何で…というのは聞いたけど覚えてない。
やっぱりわからん
プリフェッチ
winprefetchviewデモ
メモリの解析
メモリの解析
メモリのダンプとって解析する
● OS情報● プロセスのリスト● それらが使ってたDLL一覧● コネクション情報● 開いてたファイル
など、いろいろわかる。
メモリの解析
● メモリのダンプ○ ftkimager
● ダンプしたメモリの解析○ volatility
メモリのダンプできるのは他にもあるけどとりあえず今回はこれで。
ftkimager
FTK Imager Lite version 3.1.1でOKメモリのダンプはちょっと時間がかかります
volatility
pythonのスクリプト
Windows用のバイナリもある
volatility
インストールはここ見て頑張る
https://code.google.com/p/volatility/wiki/FullInstallation#Installation_Prerequisites
結構面倒
pythonの3じゃ動かない
64bitのpyhton2.7だとだめかも?
多分準備するならLinuxのほうが楽。
自分のPCで解析しようと思ったけど…
Windows7までしか対応してなかった。(手元のPCはWindows8.1)
>Support for Windows 8, 8.1, Server 2012, 2012 R2, and OSX 10.9 (Mavericks) is either already in svn or just around the corner, so stay tuned for our next release!https://code.google.com/p/volatility/
サイトにあるメモリのサンプルでやる
マルウェアが動いてる状態の分とか、
何もない自分のPC見るより面白そう
メモリ解析
デモ
\e