forensics
今年の DFRWS Forensics Challenge は Linux のメモリ解析がテーマだったが、PyFlag/Volatility チームが勝ったらしい。 Volatile Systems: PyFlag/Volatility Team Wins DFRWS Challenge!: Advanced Memory Forensics I'm very excited to announce that th…
このところなんだかやけに忙しくて、ここの更新も滞り気味。さて先日、IDFの分科会にまたもや参加してきた。デジタル・フォレンジック研究会 - 技術 分科会 (第5期 第2回) 開催日時:7月23日(水) 19:00〜21:00 題目:「FTK2.0を使用した…
こんな本も出たらしい。Unix and Linux Forensic Analysisとあわせて、注文するかな。 Malware Forensics: Investigating and Analyzing Malicious Code作者: Cameron H. Malin,Eoghan Casey BS MA,James M. Aquilina出版社/メーカー: Syngress発売日: 2008/…
via http://computer.forensikblog.de/en/2008/06/new_physical_memory_imagers.html 前回紹介したMDDはGPLで配布と言いながら、肝心のカーネルドライバのソースが含まれていないらしい。というわけで対抗して自分のツールを公開している方がいた。 msuiche.…
Harlan Carveyさんのところから。こういうツールがあるらしい。 Memory DD captures a record of physical, or random access memory which is lost when the computer is shutdown. Released at no charge under the GPL license for government and privat…
こんなフォレンジック本が出るらしい。Amazon.comと Amazon.co.jpでビミョーにタイトルが異なるが、ISBNは一緒だから単なるミスだろう。 http://www.amazon.com/UNIX-Linux-Forensic-Analysis-Toolkit/dp/1597492698 UNIX and Linux Forensic Analysis DVD T…
Autopsyに代わる Sleuthkit用 GUIとして開発されている PTKの最初のベータ版がリリースされた。しばらく見ないうちにかなり充実した機能が実現されてる。メモリダンプの解析機能まであるらしい。早速試してみよう。 PTK main features Preliminar indexing p…
ハードディスクのパスワードロックはなぜ破られた? (1/3):データを守るためにできること(1) - @ITHDDパスワード(ATAパスワード)についてよくまとまった記事。 一部の製品モデルでは、サービス領域内のパスワードが暗号化されずに保存されています。1台…
CeCOSをちょっと早めに抜けて、デジタル・フォレンジック研究会(IDF)の技術分科会に参加してきた。http://www.digitalforensic.jp/expanel/diarypro/diary.cgi?no=44&continue=on 開催日時:5月27日(火) 19:00〜21:00 題目:『原本同一性の確…
というわけで、第41回 コンピュータセキュリティ(CSEC)研究発表会に行ってきた。今回は新しい研究グループである「情報セキュリティ心理学とトラスト(SPT)」との合同である。情報セキュリティへの心理学的なアプローチについては、まだまだこれからという…
NGS Softwareといえば、David Litchfield氏などOracleのセキュリティに関する研究で有名で、多数のホワイトペーパーをだしている。その日本語版がNGSSQuirreLの代理店である三菱総研DCSから公開されたようだ。 (これまではユーザー向けにメールでのみ配信さ…
そういえば先週、デジタル・フォレンジック研究会(IDF)から技術分科会の開催案内がきた。 1 開催日時: 平成20年5月27日(火)19:00〜21:002 テーマ: 「原本同一性の確保とEnCaseを利用したフォレンジック調査」3 講師: 松本 隆 氏、平戸…
RegRipperと日本語文字列 id:hideakiiさんのところで知ったのだが、RegRipperで日本語の文字化けが起こるらしい。 プラグインのソースを眺めてみると、確かにマルチバイトの考慮は全然していない模様。例えば、recentdocs2.plでファイル名を抽出する部分はこ…
Can your computer keep a secret? Why all laptop data protection methods are NOT created equal Part I: Hard Drive Passwords Easily Defeated; the Truth about Data Protection Part II: Software Solutions for Encrypting Data at Rest Part III: N…
http://journal.mycom.co.jp/articles/2008/03/07/cuda/index.html GPUは、シンプルな演算ユニットを多数搭載しているため、並列演算処理を行う場合、同規模のCPUと比べて高い処理性能を達成することができる。そのため、近年グラフィックスを得意としていた…
ここ数日このネタをあちらこちらで見かける。別に目新しい話ではないのだが、何故なのかと思っていたら、Adam Boileauさんがこれまでは公開していなかったツールを自身のWebで公開したからのようだ。少し前のエントリでも書いたが、Firewireを利用するとDMA…
EFS(Encrypting File System)はWindows2000(NTFS5)以降のOSに標準で実装されている暗号化ファイルシステムである。フォレンジック調査では時々EFSファイルを復号して調べることが必要になる。対象ファイルを利用しているユーザーが協力してくれてファイルの…
Windows Incident Response: When First Responders Attack!! No Cookies | The Advertiser 何かインシデントが発生したときに、インシデントレスポンスのやり方がまずくて大事な証拠を破壊(データを上書き)してしまうという話。実際、上記のエントリにあ…
New Research Result: Cold Boot Attacks on Disk Encryption Lest We Remember: Cold Boot Attacks on Encryption Keys » Center for Information Technology Policy Abstract Contrary to popular assumption, DRAMs used in most modern computers retain…
Windows Incident Response: Getting started, or forensic analysis on the cheap フォレンジック関連でいつも有用な記事を書いてくれる Harlan Karveyさんのブログから。フリーで使えるフォレンジックツールをまとめてくれている。ほとんど知っているもの…
http://www.computerworld.jp/news/sw/98609.html 米Microsoftがついに,バイナリ形式のOffice文書仕様を公開 | 日経 xTECH(クロステック) Microsoft OfficeのバイナリファイルのフォーマットがMSのサイトで公開されたようだ。対象となっているバージョン…
Push the Red Button: Enumerating Registry Hives Push the Red Button: Challenges in Carving Registry Hives from Memory Andreas Schusterさんのブログ経由。メモリイメージからレジストリハイブを見つける方法について、詳細に説明されている。まだ全…
Ext2 IFS For WindowsLinuxからFATやNTFSファイルシステムへのアクセスは割と簡単なのに、WindowsからExt2/Ext3にアクセスするのは面倒だった。以前からexplorer2fsやDiskInternals Linux Readerなどのツールはあったが使い勝手がイマイチ。ところがこのExt2…
2008年1月31日に京都で開催。ICDF2008とスケジュールが連続していたのでこちらにも参加してきた。招待講演でヨーロッパにおけるデジタルフォレンジックの現状について興味深い内容を聞くことができたのでまとめておく。 "Digital Forensics in Europe" Nicol…
http://www.ifip119-kyoto.org/doku.php1日目の様子はこちら。2日目の様子はこちら。 3日目(最終日)の内容から気になったものを以下にピックアップしてみる。 "Hypothesis-Based Investigation of Digital Timestamps" Session 10: Security and Integrity…
http://www.ifip119-kyoto.org/doku.php1日目の様子はこちら。さて2日目の内容から気になったものを以下にピックアップしてみる。 "Emerging Cyber Threats" FBIのShawn HenryさんによるKeynote Lecture。ワシントンからテレカンファレンスによる講演だった…
http://www.ifip119-kyoto.org/doku.php 昨日から京都大学で開催されているICDF2008に参加している。これは、IFIP Working Group 11.9 on Digital Forensicsが毎年開催しているカンファレンスで今年で4回目になる。参加者は全部で70人くらい。うち1/3が日本…
http://www.digitalforensic.jp/expanel/diarypro/diary.cgi?no=35&continue=on12/17,18の2日間にわたって「第4回デジタル・フォレンジック・コミュニティ2007 in TOKYO」が開催された。これはNPOデジタル・フォレンジック研究会が主催するイベントで、今年…