🦉フォレンジック
Windows 10 ではプロセスが Web カメラやマイクにアクセスすると、レジストリにその開始と終了の時刻が記録されるという記事があったので、実際に確認してみました。 Web カメラやマイクにアクセスしたプロセスが記録されるレジストリ w32tm コマンドで人が…
pagefile.sys について pagefile.sys はシーケンシャルでなく 4KB 以下のデータの断片の集合なので、Volatility では解析できず、 Yara や Strings で有用なデータが残されていないかを確かめるのがよいということのよう。 解析例 無関係の文字列も含まれる…
2023-01-10 データ収集ツール インシデントレスポンスの初動対応で端末からデータを取得するのに利用できそうなツールをいくつか試してみました。 主にファイルダンプ取得を目的として、ぱっとそのまま使えるものをという観点でいくつかの機能を確認し、結果…
仙台CTF推進プロジェクト 仙台CTF推進プロジェクト https://www.sendai-ctf.org/ 情報セキュリティ技術のスキルアップ・イベント 仙台CTF 2017 http://sectanlab.sakura.ne.jp/sendaictf/fyi.html 仙台CTF推進プロジェクト 仙台CTF推進プロジェクトが主催す…
2023/01/10 それぞれ、トリプルクリックするとパスを全選択できます。 履歴ファイルの格納場所 Chrome の履歴ファイル %USERPROFILE%\AppData\Local\Google\Chrome\User Data\Default\History Firefox の履歴ファイル %USERPROFILE%\AppData\Roaming\Mozilla…
2023-01-10 「フォレンジックに手を出してみたいけれど解析できるようなイメージデータがない」というときによさそうなイメージデータを集めました。 シナリオと解答付きのものを優先して集めています。 ジャンルは主にPCのディスクイメージですが、メモリイ…
Volatility でnetscan を使った際に、怪しい接続先が見つかってもプロセスIDが「-1」となってしまっている場合があります。そんなときに通信元プロセスをどう探せばいいのかについて BlackHat Asia 2019 の発表でさらっと紹介されていました。 Investigating…
2019-08-20 iOS_sysdiagnose_forensic_scripts 以下のサイトで iOS のフォレンジックに関するスクリプト群が公開されていました。 cheeky4n6monkey/iOS_sysdiagnose_forensic_scripts: Scripts to parse various iOS sysdiagnose logs. Based upon the foren…
背景 TLを眺めていたら以下の記事を見かけた。 Zone Identifier に記録される内容が Web ブラウザによって異なるというもの。 とっても面白かったので手元の環境でも試してみた。 thinkdfir.com (参考)Zone Identifierとは Windows XP SP2のZoneIdとは?:…
ZoneID とは ファイルの代替ストリーム(Alternate Data Stream, ADS)として記録される Zone.Identifier の項目のひとつで、 外部から取得したファイルなどに付与され、ファイル起動時に警告を表示する/しないの判断などに利用されている。 Windows XP Ser…