久しぶりの Forensicネタ！Forensic用の LiveCDとして以前からオススメしているDEFT Linux。昨日、新バージョンの DEFT 6がリリースされました。 DEFT Linux 6 ready for download http://www.deftlinux.net/2011/01/11/deft-linux-6-ready-for-download/ DE…

複数の入力ファイルから TLN形式のタイムラインを生成してくれるみたい。TLNは少しずつ拡がりを見せている…のかな？http://www.cutawaysecurity.com/blog/system-combo-timeline System Combo Timeline was developed to help with the quick generation of …

Law Enforcementだけに提供されていた MSのCOFEE(Computer Online Forensic Evidence Extractor)が漏れてしまったようです。COFEE Forensic Tool Leaks To What.cd, Admins Ban It - TorrentFreak Microsoft’s much sought-after COFEE law-enforcement fore…

DEFT Linux V4.2.1が先月リリースされたと思ったら、V5も今週リリースされました。http://www.deftlinux.net/2009/10/20/deft-v4-2-1-release/ DEFT was recovers ext3/4 file systems during the boot process and this modifies the data on suspect media…

VMwareなどの仮想ディスクをマウントするツールとしては、Virtual Disk Driver(VDK)が古くから有名ですが、似たようなツールにImDiskがあります。コントロールパネルからイメージ操作ができるなど、VDKより使い勝手がいいのが特徴です。ただ VDKと機能的には…

log2timelineもガンガン更新されてます。v0.3で GUIがでたと思ったら、pcapや setupapiなど入力モジュールの対応もどんどん増えてます。SIMILEによるタイムラインの可視化もおもしろい試みです。今後が楽しみなツールですね。

win32ddが 64bitにも対応して名前も Winddになったようです。v1.3.20090909(RC2)がでてますね。Windd Windows Physical Memory Imaging Utility 2009-09-09 1.3. Major update - Network support (both client and server in one executable). - 64-bits sup…

前回のエントリの続きです。実はWindows FEは forensically soundじゃないのではないか？という議論があります。作者(?)である Troy Larsonさん自身が上記のブログにコメントをつけています。 Windows FE will write a disk signature to a non-Windows disk…

Windows FE (Forensic Environment)というのを知っているでしょうか？フォレンジック用のWindowsベースの LiveCD環境(USBでもいいですが)のことです。Microsoftの Troy Larsonさんが発案者らしく、構築方法を解説したドキュメントが公開されています。実はこ…

前のエントリーで書き忘れましたが、Raptorというディスクイメージ作成に特化した LiveCDもあります。Intelプラットフォーム用だけでなく、PPCプラットフォーム用の ISOイメージも用意されています。また、作成できるイメージ形式として dd(Raw)、E01だけで…

Pen-Test用の LiveCDの定番といえば BackTrack、そして Forensics用の LiveCDといえば Helix・・・でした。昨年までは。2008年までは無償で使えた Helixですが、e-fenseの方針が変わって2009年からはフォーラム登録ユーザ(有償)のみがダウンロードできるよう…

「最近ブログの更新がとまってて寂しいですねぇ」と id:hideakiiさんに突っ込まれてしまいました。細々とですが頑張ってみます。さて来月某所で話をすることになったので、いろいろとネタを集めています。タイムライン解析では最近 log2timelineというおもし…

へぇ。こんなツールあったんだ。Firefox 3 Forensics via kwout

HDDの診断やリカバリなどを行う各種ツールが紹介されている。もちろんフォレンジックでも使える。 Partition Find and Mount HDD Low Level Format Tool HDDScan MHDD まだほかにもいろいろ。HDDGURU: Software: HDD diagnostics and recovery via kwout

Using Every Part of the Buffalo in Windows Memory Analysis All Windows memory analysis techniques depend on the examiner's ability to translate the virtual addresses used by programs and operating system components into the true locations …

今年の10月に第1回の Forensic Summitがラスベガスで開催されましたが、来年はワシントンD.C.で 7月に開催されるようです。うーむ、これは是非行きたい。SANS Institute - SANS WhatWorks Summit in Forensics, and Incident Response via kwout

Mounting Images Using Alternate Superblocks « SANS Computer Forensics, Investigation, and Responseから。ext3などのジャーナリングファイルシステムのパーティションに対してイメージファイルを作成した場合、そのマシンが正常にシャットダウンされて…

おおっ、こんな動きがあったとは。シマンテックとJi2，フォレンジック技術を使ったE-Discovery支援サービスを提供：ITpro シマンテック、デジタルフォレンジック関連サービスでJi2と協業：ITpro

SANSの Rob Leeによるメモリ・フォレンジックの解説。なかなか丁寧でわかりやすい。今後の主流はやはりメモリイメージの取得と解析になりそう。Stop Pulling The Plug!! とマネして言ってみる。Memory Forensic Acquisition and Analysis 101 « SANS Compute…

先日のセミナーはなんとか無事に終えることができました。できれば資料を公開したいのですが、そのままだとちょっとまずそうなので(別に内容はたいしたことないのですが)、ポイントだけここにまとめておきたいと思います。(と言いながら、書いているうちに結…

MANDIANTから新しいメモリイメージ取得、解析ツールが公開された。ライブ・レスポンスツールとしても利用できる。なかなか便利そう。HITBカンファレンスでリリースされた模様。memoryze MANDIANT Memoryze is free memory forensic software that helps inci…

win32ddがバージョンアップ。Microsoftの Crash Dump形式に対応したらしい。これで WinDbgで解析することができる。Matthieu Suiche’s blog ! » Today’s a new day: win32dd 1.2 out! New features coming into this version — but the most notable feature…

Computer Forensics: Results of Live Response Inquiry vs. Memory Image Analysis http://www.cert.org/archive/pdf/08tn017.pdf 単純だがなかなか興味深いレポート。ある一つのシナリオにおいて、ライブ・レスポンスとメモリイメージ解析の結果にどのよう…

http://forensics.sans.org/community/top7_forensic_trends.phpForensicsのプロがまとめた最新のトレンド。なかなか興味深い。 項目のみを抜粋するとこんな感じ。 Data Breach Investigations Escalating IR/Forensic Preparedness Low Clear Need for Fore…

昨日の分科会にも参加したのでメモ。デジタル・フォレンジック研究会 - 技術 分科会 （第５期 第３回） 開催日時：９月２５日（木） １９：００〜２１：００ 題目：「ProDiscoverのご紹介」 総合司会：萩原 栄幸 氏（IDF技術分科会主査／IDF理事） 講師：芝 …

RegRipper What is RegRipper?RegRipper was created and maintained by Harlan Carvey. RegRipper, written in Perl, is the fastest, easiest, and best tool for registry analysis in forensics examinations. レジストリ解析ツールの RegRipperですが、…

今年も同じ場所で同じ時期に開催されますね。参加申し込みがはじまっています。第５回デジタル・フォレンジック・コミュニティ2008 in TOKYO 開催日：2008年12月15日（月）〜16日（火） 主 題：「グローバル化に対応したデジタル・フォレンジック」 副 題：…

SANS - Computer Forensics and e-Discovery with Rob LeeRob LeeさんらによるComputer Forensicsのコミュニティサイト。Rob Leeさんは SANS 508コース(Computer Forensics)の開発を手がけるメインインストラクター。上記サイトから 508コースで使用する VMw…

本日は勉強会をはしご。午後、JNSA U40勉強会に参加したあと、id:hideakiiさん主催の FAT演習会に参加しました。まあ実際には演習会というより、みんなで exFATを解析し倒そうぜ的な勉強会でしたが、とても勉強になりました。参加者の皆さん、どうもありがと…

先日の Black Hat で受けたトレーニングの内容を簡単にまとめておきます。受講したコースはこれ。 Reverse Engineering Rootkits by Greg Hoglund, HBGary & Rich Cummings, HBGary 概要 講師：Greg Hoglund, Rich Cummings (www.hbgary.com) 日時：2008年8…