setodaNote

忘れる用のメモ書き

ツール類

Webブラウザの履歴ファイルの格納場所とビューア

履歴ファイルの格納場所 Chrome の履歴ファイル %USERPROFILE%\AppData\Local\Google\Chrome\User Data\Default\History Firefox の履歴ファイル %USERPROFILE%\AppData\Roaming\Mozilla\Firefox\Profiles\[PROFILE_NAME]\places.sqlite IE10, IE11, Edge の…

Sysmon で DNS クエリのログを取得する

Sysmon Sysmon - Windows Sysinternals | Microsoft Docs https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon Sysmon - Windows Sysinternals | Microsoft Docs Sysmon が DNS クエリのロギングに対応したそうなので、実際にログを取得してみ…

Cuckoo の設定メモ

実行時のオプション ファイル種別固有のオプション 解析結果ログの確認 解析環境のメモリダンプ 解析環境の通信パケット(pcap) Cuckoo 解析結果の全消去 memory.conf 参考文献 更新履歴 実行時のオプション ファイル種別固有のオプション zip オプション名…

Chrome の拡張機能にショートカットを割り当てる

URLバーに以下を打ち込む。 chrome://extensions/shortcuts extensions shortcuts 参考文献 Chrome拡張の高速な英語辞書ツールをつくりました(Mouse Dictionary) - Qiita https://qiita.com/wtetsu/items/c43232c6c44918e977c9 更新履歴 2019/06/08 新規作成

VisualStudio サブスクリプションまとめ

プラン一覧を確認したい/購入したい 価格と購入のオプション | Visual Studio https://visualstudio.microsoft.com/ja/vs/pricing 価格と購入のオプション | Visual Studio OSイメージをダウンロードしたい/プロダクトキーを確認したい Downloads - My Vis…

Volatility の netscan で通信したプロセスIDが不明なときの探し方

Volatility でnetscan を使った際に、怪しい接続先が見つかってもプロセスIDが「-1」となってしまっている場合があります。そんなときに通信元プロセスをどう探せばいいのかについて BlackHat Asia 2019 の発表でさらっと紹介されていました。 Investigating…

Cuckoo に難読化 Poweshell 解析モジュール CurtainCuckoo を導入する

CurtainCuckoo とは Curtain は難読化された PowerShell を可読化するため Cuckoo モジュールです。このモジュールを使うためにはサンドボックスである Windows 側で PowerShell ScriptBlock Logging が有効になっている必要があります。 karttoon/curtaincu…

iOS フォレンジック:sysdiagnose ログを解析する

iOS_sysdiagnose_forensic_scripts 以下のサイトで iOS のフォレンジックに関するスクリプト群が公開されていました。 cheeky4n6monkey/iOS_sysdiagnose_forensic_scripts: Scripts to parse various iOS sysdiagnose logs. Based upon the forensic researc…

CAPE 環境を構築して Emotet を解析する

CAPE CAPE (Malware Configuration And Payload Extraction) は 2016年9月頃に github に公開されたマルウェアサンドボックスです。Cuckoo (より正確には spender-sandbox)をベースに開発されており、多くのマルウェアからペイロードや設定情報を自動的に…

MalConfScan with Cuckoo 環境を構築して Emotet を解析する

MalConfScan 2019年4月22日頃に JPCERT/CC が github に「MalConfScan」というマルウェア解析ツールを公開しました。Volatility プラグインで、複数のマルウェアについて「設定データ」「デコードされた文字列」「DGAドメイン」を抽出できるというものです。…

FLASHMINGO を少し動かしてみた

FLASHMINGO とは FLASHMINGO は FireEye が無償で公開している Flash 解析フレームワークです。 FLASHMINGO の紹介記事 FLASHMINGO: The FireEye Open Source Automatic Analysis Tool for Flash | FireEye Inc https://www.fireeye.com/blog/threat-researc…

Ghidra まとめ

入手先 Ghidra https://ghidra-sre.org/ 意図せずデバッグモードが有効になってしまうバグへの対処 Windows 設定ファイル(support/launch.bat)の140行にある * を 127.0.0.1 に修正 Linux 設定ファイル(support/launch.sh)の150行にある * を 127.0.0.…

RSSフィードのないサイトをRSSリーダーでチェックする

背景 Webから情報収集するのに便利なRSSリーダー。ただ、サイトによってはRSSを提供していなかったり、望む形の情報でなかったりすることもあります。 色んな解決策があると思いますが、ここではRSSフィードを作ってくれるサイトを活用し、望む形の情報をRSS…

Windowsでncコマンドやcurlコマンドを使えるようにする

Linux を使えばいいものの Windows で nc や curl を使いたいときがたまにあります。 いくつか方法はあると思いますが、ここでは Cygwin を使ってインストールしてみます。 Cygwin まずは以下のサイトから Cygwin をダウンロードします。 ページ左上の「Inst…