Forensicist

iOS 5.xから搭載されたiCloudについて軽くまとめた資料です。深くまでは全然調べきれていませんが、さわりとしてはこんなところかなと思います。

NSRLJPはNSRL(http://www.nsrl.nist.gov/)を補完することを目的としたハッシュデータセット(ハッシュライブラリ)です。NSRLは数千万規模のハッシュが提供されていて定期的にアップデートされていますが、日本語環境には最適といえません。NSRLJPは、NSRLのフォーマット(RDS)準拠の日本語関連のソフトウェアを中心とするハッシュデータセットを提供します。NSRLの概要、フォーマットについてはNSRL RDSを参照してください。

[ダウンロード]
NSRLJP_201109.zip (ハッシュ数: 187,430、ファイルサイズ: 13,817,931バイト、MD5: 32fd2e1f64deaaf27fdb1ece5c4e2ceb)

fte(FILETIME Extractor)は、ファイルシステムで管理されているファイル/フォルダの正確なタイムスタンプを取得するツールです。新たにNTFSのパース機能を搭載しました。

[バージョン]
fte v1.6

[動作環境]
Windows XP/2003/Vista/2008/7 (x86/x64) & .NET Framework 2.0以上

Windows 7では特に追加のインストールは不要のはずですが、Windows 7以外では以下のランタイムのインストールが必要です。

Microsoft Visual C++ 2008 SP1 再頒布可能パッケージ (x86)
http://www.microsoft.com/downloads/ja-jp/details.aspx?FamilyID=A5C84275-3B97-4AB7-A40D-3802B2AF5FC2

OSが64bit版でもランタイムはx86版をインストールしてください。

[機能]
NTFSパース用のフォームを新規に追加しました。起動時の画面でWindowメニューからNTFSを選択することにより呼び出すことができます。

(NTFS)

ドライブを選んでからRun、またはファイル/フォルダをドラッグ&ドロップすることによりパースします。以下の項目を出力します。

• name (ファイル名)
• id, pid (MFT ID、親フォルダのMFT ID)
• flag (ファイル/フォルダ/削除済を示すフラグ)
• nspace (ファイル名の名前空間 POSIX/Win32/DOS/Win32&DOSのいずれか)
• links (当該ファイルに対するリンク数)
• crtime, mtime, ctime, atime (作成、更新、エントリ更新、アクセス日時)
• crtime(FN), mtime(FN), ctime(FN), atime(FN) ($FILE_NAME属性に格納されているタイムスタンプ)

fte(FILETIME Extractor)はファイル/フォルダの正確なタイムスタンプを取得するツールです。
GUIで実装してみました。

(2011/05/15 追記)
バグ(ファイルの場合に2重処理、botimeをオプションに関わらずUTCで処理)を修正し、レイアウト変更、ドラッグ&ドロップ投入に対応しました。

[バージョン]
fte v1.5.1

[ライセンス]
GPL (v3)

[動作環境]
Windows XP/2003/Vista/2008/7 (x86/x64) & .NET Framework 2.0以上

Windows 7以外では以下のランタイムのインストールが必要です。
# Windows 7では追加インストール不要でそのまま動くはずです。

Microsoft Visual C++ 2008 SP1 再頒布可能パッケージ (x86)
http://www.microsoft.com/downloads/ja-jp/details.aspx?FamilyID=A5C84275-3B97-4AB7-A40D-3802B2AF5FC2

OSが64bit版でもランタイムはx86版をインストールしてください。

[画面構成]

最近Windows 7のイメージを見ていて気づいたのですが、NTFSなのにEnCaseのEntry Modifiedが空欄になっているファイルがあります。

上の画面で選択しているファイルjquery[1].jsはTemporary Internet Filesフォルダ内のキャッシュファイルです。このファイルのMFTのレコード部分を確認した結果が下の画面です。

$SIA内に保存されている4つのタイムスタンプの内、確かにEntry Modifiedに相当する部分が"04 01 00 00 6D 00 00 00"と見慣れない値になっています。他のタイムスタンプは$FNAのものも含め、"38 79 7E BF 0E E7 CB 01"や"0A 78 1D C0 0E E7 CB 01"となっていて、それぞれ2011/03/20 23:54:43または2011/03/20 23:54:44と正しい値を返しているように見えます。

The Sleuth Kit(TSK, sleuthkitなどとも呼ばれます)は主にファイルシステム周りの調査を対象としたコマンド群です。20以上のコマンドが存在しますが、多くはコマンド名の先頭文字で対象とするレイヤを示し、その後にどのような処理をするかを省略した名称が続きます。

先頭文字は具体的には、ディスク(disk)、イメージ(img)、ボリューム(mm)、ファイルシステム(fs)、ファイルネーム(f)、メタデータ(i)、コンテンツ(blk)、ジャーナル(j)があります。

その後に続く名称としては、内容出力(cat)、統計情報出力(stat)、リスティング(ls)、検索(find)があります。

この規則に当てはまらないコマンドは独自レイヤのコマンドに位置付けられますが、調査に有用なユーティリティといった要素が強いように思います。

ここで主要なコマンドがどのレイヤに作用しているかを図にしてみました。基本的に矢印の始点がインプットで終点がアウトプットのイメージですがかなり曖昧です。また、ディスク、イメージ、独自レイヤのコマンドはこの中に含まれていません。

タイムライン解析ツールlog2timelineのためのEnScriptです。

Log2Timeline-DataGather
http://secureartisan.wordpress.com/2010/03/22/log2timeline-datagather/

Log2Timeline-DataGatherを使うと、log2timelineがパースするファイルのみをブックマークして、取り出せるようになります。関係のあるファイルだけを抽出するため、timescannerでかかる時間を短縮することができます。

Windows 7/2008/Vista Audit Policy (PolAdtEv)でまとめた情報に基づき、監査ポリシーのレジストリをパースします。

Input部分にHKLM\Security\Policy\PolAdtEvキーの値を入力して、parseを押すと結果を表示します。入力値内にスペースが入っていてもいなくても問題ありません。初期状態はWindows 7の規定値を入れてあります。不明なパターンの場合は正しく結果を返さない可能性があります。

Windowsのセキュリティ イベントログは、セキュリティ ポリシーの監査ポリシーの設定に従い、出力を制御しています。XP/2003では監査ポリシーは大きく9つに分類されていましたが、Vistaからは細分化されて50以上に分類されています。