Forensicist

sleuthkit 3.1.0が2010/01/13付でリリースされていました。

主な変更点を確認したところ、HFS+が(正式に?)サポートされ、コマンド全般で-bオプションが採用されました。
この-bオプションでセクタサイズを指定できるとのことですが、どのようなケースで使うかは不明です。これまで
mmlsやistatで使われていた-bオプションは-Bに変更されています。

また、disk_sresetとdisk_statは使い物にならなくなった&hdparmで代用できるとのことでsleuthkitから除外されました。

その他詳細な変更点は以下で確認できます。

せっかく作ったfteがあるので、フォレンジック系の調査用ツールが搭載しているタイムスタンプの
処理周りを調べました。今回はエクスポート機能で出力したファイルのタイムスタンプがオリジナルを
どこまで維持しているか検証した結果です。

今回対象にしたファイルはCFReDS Hacking Caseのboot.iniファイルで、タイムスタンプは
以下の通りです(ImDiskでddイメージをFドライブにマウントしてfte実行)。

JPCERT/CCからMACtimeに関する文書が公開されています。

MACtimeからわかるファイル操作 (Version 1)
http://www.jpcert.or.jp/ed/2009/ed090002_20091102.pdf

Iharaさんのサイトで取り上げられていたタイムライン(http://d.hatena.ne.jp/hideakii/20091006)の話に
関連して、フォレンジック解析系のツールが秒未満の情報を適切に取り扱っているか確認するために、NTFSの
ファイルタイムスタンプを使って検証しました。

# 実は以前気になって調べたのですが、きっかけがあるまで暖めていたネタだったりします。

検証過程とあわせて結果を以下に記載します。

Ji2 フォレンジック調査チーム 調査（eDiscovery業務）ツール公開
http://www.ji2.co.jp/forensics/

関係者ということで宣伝を兼ねた紹介です。

EnScriptはいくつか公開されていますが、どれも使い方は簡単なのでEnCaseを持っている方はぜひ活用を。
特にMemoryForensicToolsは日本語検索が可能なのでかなり使えると思います。以下のサイトで使い方や
スクリーンショットなど参照できます。

Offline Process Stack/Heap Search for Non-English-speaking People
http://cci.cocolog-nifty.com/blog/2009/09/offline-process.html

RegDog(仮)はRegRipperの移植版とありますが、Unicode対応している点で日本語環境のユーザは非常に
重宝すると思います。逆に言えばRegRipperはUnicodeを含むデータを飛ばして処理しなかったりするので
見落としが発生する可能性があり、十分気をつける必要があります。
# 自分は以前RegRipperの出力結果を鵜呑みにして見落としてしまい、苦い経験をした覚えがあります..

RegDog(仮)のChangeLogなど開発に関する話は以下からどうぞ。

”隣の人”の開発記録帳
http://d.hatena.ne.jp/mark-of-distinction/

実はRegDog(仮)はまだ全然使っていないので、これから試しつつ気づいたことなどリクエスト
しようかと目論んでいます。

File System creation date vs. Operating System install date - Part I
http://www.forensickb.com/2009/05/file-system-creation-date-vs-operating...

ファイルシステムの作成時間とOSのインストール時間に関する注意点が紹介されています。

通常のWindowsインストール時には、NTFS作成の後に必要ファイル類がコピーされて
インストール完了となりますが、ファイルシステム作成時の$MFTなどの内部オブジェクトに
格納されるタイムスタンプ(MACE Time)はBIOSのタイムゾーンを引き継いで記録します。

一方NTFSは基本的にタイムスタンプをGMTで記録するため、BIOSの時間情報のタイムゾーンが
GMTでなかった場合、その分のずれが生じます。OSのインストール時間は以下のレジストリ値に
記録されます。

HKLM\Software\Microsoft\Windows NT\CurrentVersion\InstallDate

この時間は通常NTFSの$MFTのCreation Timeから約1時間後になりますが、大幅にずれて
いた場合はBIOSのタイムゾーンを確認したほうがよいでしょう。

「データが膨大で手が回らない」--監視カメラ大国の英国で警察が悲鳴
http://japan.cnet.com/news/sec/story/0,2000056024,20393264,00.htm

"ナンバープレート認識システムは、光学式文字認識（OCR）を使って車のナンバープレートのデジタル画像を文字に
変換し、この文字をリスト化するというものだ。この技術は、不審者追跡の支援を目的の1つとして導入されたが、
Readhead氏によると、警察は利用できる情報がたくさんありすぎる状況だという。...(省略)　英国には、約400万台の
監視カメラが稼働中といわれている。"

2, 3年前くらいから保全、アーカイビングのソリューションは十分に製品等も揃いピークを迎えたように言われて
いますが、いよいよ次のフェーズに注目が集まりそうですね。

Anti-forensic techniques in malware
http://seccure.blogspot.com/2009/05/anti-forensic-techniques-in-malware....

Mariusz Burdachさんによる久しぶりのブログポストです。マルウェアに搭載されているアンチフォレンジック技術に
ついて書かれています。マルウェアの中にはGetFileTime()やSetFileTime()などのAPIを使ってインストール中や
実行中に自身のMAC time属性を変更するものがあるとのことです。

いつのまにか公式サイト(http://forensic.seccure.net/)のほうもリニューアルされていました。
まだ細かく見ていませんがツール類も更新されているのかもしれません。

GWを挟んだので取り上げている内容も多めです。

System Scanner
http://www.codeproject.com/KB/winsdk/system_scaner.aspx

タスクマネージャの代替ツールとして作成されたツールで、仮想メモリのダンプも可能です。Windows 2000向けに作られています。

2009/04/20-26あたりの記事で気になった話題などを挙げておきます。

Undelete Plus
http://www.undelete-plus.com/

FAT, NTFSのファイル復元ツールです。非商用用途では無償で利用できます。

最近(2009/04/13-19あたり)の記事で気になった話題などを挙げておきます。

Fun with Apple EFI Firmware Passwords
http://paulmakowski.blogspot.com/2009/03/apple-efi-firmware-passwords.html

EFIのファームウェアパスワードを変更(解読)するCUIツールです。具体的にはnvramにあるパスワードを解読するとのこと。