setodaNote

忘れる用のメモ書き

フォレンジック学習向けのイメージデータ

「フォレンジックに手を出してみたいけれど解析できるようなイメージデータがない」というときによさそうなイメージデータを集めました。 シナリオと解答付きのものを優先して集めています。

ジャンルは主にPCのディスクイメージですが、メモリイメージやネットワークパケット、携帯電話やドローンのイメージデータ、メールデータなども含みます。

NISTが提供するフォレンジック練習向けのイメージデータ

f:id:soji256:20190612060653p:plain
The CFReDS Project

一番有名らしい NIST が提供している「Computer Forensic Reference Data Sets (CFReDS)」というフォレンジック技術の訓練や教育、ツール検証用のデータセット。

  • Hacking Case:ハッキング事案。シナリオに沿って31の質問に答えるための証拠を集めていく。解答付き。
    • 「EnCase image」「second part」とある2ファイルをダウンロードしてからFTK Imagerなどで .E01 を開けばよい。
  • Data Leakage Case:データ漏洩事案。1台のPCと3つの外部記憶媒体を解析して60の質問に答えるための証拠を集める。解答付き。
  • Registry Forensics:レジストリ解析の練習向け。初期状態(NR)、一部削除(NRD)、破損状態(CR)、耐解析加工(MR)などが用意されている。
  • Drone Images:DJI Phantom4 を始めとするドローン60台分が用意されており、飛行日やGPS座標、取得データなどが含まれている。
  • Russian Tea Room:ロシア語環境解析用のディスクイメージ。8つのセクションを見つけ出すシナリオ。
  • Basic Mac image:Mac環境のディスクイメージ。OS X のディスクイメージを見たいときに。特にシナリオはない。
  • Mobile Device Images:モバイルデバイスのディスクイメージ。Samsung S4 など10台分が用意されている。特にシナリオはない。
  • Container Files:コンテナ環境のイメージ。特にシナリオはない。
  • Deleted File Recovery:削除ファイル復元用のイメージ。残留しているメタデータからファイルを復元する。カービング用ではない。
  • File Carving:ファイルカービング用のイメージ。メタデータではなくコンテンツからファイルを復元する。

Technical - ENISA

f:id:soji256:20190613235051p:plain
Technical — ENISA

ENISAではフォレンジック分析のトレーニングのためのイメージデータなど、多くの素晴らしい教材を無料で提供しています。それぞれ詳細な手順が書かれたハンドブックと解析対象のデータがセットで紹介されています。

  • Forensic analysis: Local Incident Response  
    顧客の機密データがオンラインで公開された事案。悪意のある行為が報告された典型的な事例について、1台のディスクイメージを解析して事案に対処する。
    • 「Virtual Image II」とあるのが解析対象のディスクイメージ。「Virtual Image I」はテキストにそって解析ができるようにツールが準備されているLinuxのイメージ。
  • Forensic analysis: Network Incident Response
    この教材の主な目的は、ネットワーク・フォレンジック技術を教え、フォレンジックに関するスキルを Windows だけでなくLinux にも拡張することにある。

  • Forensic analysis: Webserver Analysis
    Web サーバーが乗っ取られた疑いがある事案。この教材では、悪意あるキャンペーンに参加していると特定された Web サーバについてのフォレンジックを行う。

この他、様々な教材が用意されています。詳細については ENISA の Web サイトを参照ください。

仙台CTF 2017

f:id:soji256:20190617200812p:plain
情報セキュリティ技術のスキルアップ・イベント 仙台CTF 2017

2017年11月12日に仙台市内で開催された情報セキュリティ技術のスキルアップ・イベント。Day1 としてセキュリティ技術勉強会が実施されており、講義資料のほか実習資料として「メモリフォレンジック」と「タイムライン解析」に関するテキストと演習用イメージが公開されています。

講義資料を読み進めることで、フォレンジックについてシナリオにそって学びつつ実習できるように資料が構成されています。

コンピュータフォレンジック教育研究用途のデジタルコーパス

f:id:soji256:20190612065944p:plain
Digital Corpora

コンピュータフォレンジック教育研究用途のデジタルコーパス。ディスクイメージ、メモリダンプ、ネットワークパケットキャプチャなどがあり、規約に従うことですべて無料で入手できます。

  • Cell Phone Dumps:携帯電話イメージ。かなり古い。Nokia_6230、SE_P800、Nokia_T68i 、SE_T630が用意されている。
  • 2008 M57-Jean:企業文書流出が疑われる事案。ノートPCを解析し、流出経路や所有者が無実かどうかの証拠を集める。
  • 2008 Nitroba University Harassment Scenario:架空の大学におけるハラスメント事案。学生寮のPCAPから犯人を探し出す。
  • 2009 M57-Patents:違法行為の捜査事案。数週間に渡り複数のディスクとアクターが絡んだ複雑なシナリオ。
  • 2012 National gallery DC:架空の国立美術館に対するサイバー攻撃事案。複数のディスクやPCAPが絡んだ複雑なシナリオ。
  • 2018 Lone Wolf Scenario:大規模な銃撃計画をしていた架空の人物が所有するノートPCを解析する事案。  
     
    注意:解答ファイルが掲載されていますがパスワードがかけられており、利用できるのは認定機関の教員と米国政府内のトレーナーに限られるようです。

Computer Forensics CCIC Training

f:id:soji256:20190616193611p:plain
2019 Digital Forensics Downloads - CCI - Cal Poly, San Luis Obispo

Windows と Android のイメージが学習用のテキストとともに提供されています。Windows については「Laptop Image 」という質問とセットになっているイメージが提供されているようです。質問は Google Docs で提供されており自分で解答が正しいかどうか気軽にチェックできるようになっていました。

f:id:soji256:20190616194516p:plain
Practical Exercise: Tucker

Digital Forensic - Training Materials

f:id:soji256:20190612071358p:plain
CIRCL » Digital Forensic - Training Materials

Windowsのディスクイメージ。フォレンジック解析に関するガイドブックやディスクイメージ取得用のコマンドラインチートシート付き。

Defcon DFIR CTF 2018

f:id:soji256:20190612071910p:plain
Hacking Exposed Computer Forensics Blog: Daily Blog #451: Defcon DFIR CTF 2018 Open to the Public

CTF形式で設問に解答するために証拠を集めていく。解答回数は制限がされており、お手つきは4回まで。

DFRWS Challenges

f:id:soji256:20190612071200p:plain
DFRWS Forensic Challenge | dfrws

  • 2003:回収されたフロッピーを分析し質問に答えるチャレンジ課題。
  • 2005:Windows のメモリを分析し質問に答えるチャレンジ課題。
  • 2006:50MBのrawファイルから可能な限り多くの完全なJPEG、ZIP、HTML、テキスト、およびOfficeファイルを抽出する課題。
  • 2007:330MBのrawファイルから可能な限り多くの完全なJPEG、ZIP、HTML、テキスト、およびOfficeファイル等を抽出する課題。
  • 2008:ユーザのホームディレクリに含まれていたファイル、メモリダンプ、パケットキャプチャを分析し質問に答えるチャレンジ課題。
  • 2009:PS3上のLinuxシステムのファイルシステムイメージ、メモリダンプ、パケットキャプチャを分析し質問に答えるチャレンジ課題。
  • 2010:Sony Ericsson K800i Cyber​​shot に関するファイルを分析しいくつかの指定要素を含むレポートを作成するチャレンジ課題。
  • 2011:Androidスマートフォンに関するファイルを分析しいくつかの指定要素を含むレポートを作成するチャレンジ課題。
  • 2015:GPUベースのマルウェアをテーマとするチャレンジ課題。
  • 2016:SDNフォレンジックをテーマとするチャレンジ課題。
  • 2017:IoTをテーマとするチャレンジ課題。
  • 2018:IoTをテーマとするチャレンジ課題。

その他

ディスクイメージ

メモリイメージ

ネットワークパケット

メールデータセット

各種データセット

付録

検証用に無償提供されている Windows の仮想環境イメージ

Microsoft はブラウザ表示などのテスト用に Windows の仮想環境イメージを無料で提供している。 かつて「modern.IE」という名前だったもの。 ちょっとしたツールの検証などで Windows 環境が必要な場合に利用できる。

developer.microsoft.com

発表資料:学習向けのフォレンジックデータ

この記事の内容をもとに作成し、2019年8月に開催されたDFIR LT大会で発表した際の資料です。

更新履歴

  • 2019/06/12 新規作成
  • 2019/06/13 「Digital Corpora」の解答を取得するのに要件があったため追記(取得は難しいようです)。その他に「Ali Hadi, Ph.D.」を追加。誤字修正など。
  • 2019/06/14 ENISA が提供している教材について記載を追記しました。(情報を提供していただいた @S0xbad1dea に感謝します。)
  • 2019/06/14 Digital Forensics Incident Response Training へのリンクを追加しました。
  • 2019/06/15 DFRWS Challenges へのリンクを追加しました。その他、文言の修正等。
  • 2019/06/16 Computer Forensics CCIC Training に関する記載を追記しました。
  • 2019/06/17 仙台CTF 2017 に関する記載を追記しました。
  • 2019/06/23 付録に検証用のWindows の仮想環境イメージについて追記しました。
  • 2019/08/16 CFReDS と ENISA でダウンロード対象のファイルを一部明記。CCIC で質問と対応するイメージデータについて別のデータを記載してしまっていたので修正。DFRWS について 2003年から2011年までを追記しました。
  • 2019/08/18 付録にDFIR LT大会の発表資料を追記しました。