sleuthkit 3.2.0が2010/10/28付けでリリースされました。
新しくtsk_ではじまるコマンドが4つ追加されました。今後tsk_ではじまるコマンドは自動化用のカテゴリに位置づけられるとのことです。4つのコマンドの概要は以下の通りです。
sleuthkit 3.1.0が2010/01/13付でリリースされていました。
主な変更点を確認したところ、HFS+が(正式に?)サポートされ、コマンド全般で-bオプションが採用されました。この-bオプションでセクタサイズを指定できるとのことですが、どのようなケースで使うかは不明です。これまでmmlsやistatで使われていた-bオプションは-Bに変更されています。
また、disk_sresetとdisk_statは使い物にならなくなった&hdparmで代用できるとのことでsleuthkitから除外されました。
その他詳細な変更点は以下で確認できます。
せっかく作ったfteがあるので、フォレンジック系の調査用ツールが搭載しているタイムスタンプの処理周りを調べました。今回はエクスポート機能で出力したファイルのタイムスタンプがオリジナルをどこまで維持しているか検証した結果です。
今回対象にしたファイルはCFReDS Hacking Caseのboot.iniファイルで、タイムスタンプは以下の通りです(ImDiskでddイメージをFドライブにマウントしてfte実行)。
JPCERT/CCからMACtimeに関する文書が公開されています。
MACtimeからわかるファイル操作 (Version 1)http://www.jpcert.or.jp/ed/2009/ed090002_20091102.pdf
Iharaさんのサイトで取り上げられていたタイムライン(http://d.hatena.ne.jp/hideakii/20091006)の話に関連して、フォレンジック解析系のツールが秒未満の情報を適切に取り扱っているか確認するために、NTFSのファイルタイムスタンプを使って検証しました。
# 実は以前気になって調べたのですが、きっかけがあるまで暖めていたネタだったりします。
検証過程とあわせて結果を以下に記載します。
Ji2 フォレンジック調査チーム 調査(eDiscovery業務)ツール公開http://www.ji2.co.jp/forensics/
関係者ということで宣伝を兼ねた紹介です。
EnScriptはいくつか公開されていますが、どれも使い方は簡単なのでEnCaseを持っている方はぜひ活用を。特にMemoryForensicToolsは日本語検索が可能なのでかなり使えると思います。以下のサイトで使い方やスクリーンショットなど参照できます。
Offline Process Stack/Heap Search for Non-English-speaking Peoplehttp://cci.cocolog-nifty.com/blog/2009/09/offline-process.html
File System creation date vs. Operating System install date - Part Ihttp://www.forensickb.com/2009/05/file-system-creation-date-vs-operating...
ファイルシステムの作成時間とOSのインストール時間に関する注意点が紹介されています。
通常のWindowsインストール時には、NTFS作成の後に必要ファイル類がコピーされて インストール完了となりますが、ファイルシステム作成時の$MFTなどの内部オブジェクトに 格納されるタイムスタンプ(MACE Time)はBIOSのタイムゾーンを引き継いで記録します。
一方NTFSは基本的にタイムスタンプをGMTで記録するため、BIOSの時間情報のタイムゾーンが GMTでなかった場合、その分のずれが生じます。OSのインストール時間は以下のレジストリ値に 記録されます。
HKLM\Software\Microsoft\Windows NT\CurrentVersion\InstallDate
この時間は通常NTFSの$MFTのCreation Timeから約1時間後になりますが、大幅にずれて いた場合はBIOSのタイムゾーンを確認したほうがよいでしょう。
「データが膨大で手が回らない」--監視カメラ大国の英国で警察が悲鳴http://japan.cnet.com/news/sec/story/0,2000056024,20393264,00.htm
"ナンバープレート認識システムは、光学式文字認識(OCR)を使って車のナンバープレートのデジタル画像を文字に 変換し、この文字をリスト化するというものだ。この技術は、不審者追跡の支援を目的の1つとして導入されたが、 Readhead氏によると、警察は利用できる情報がたくさんありすぎる状況だという。...(省略) 英国には、約400万台の 監視カメラが稼働中といわれている。"
2, 3年前くらいから保全、アーカイビングのソリューションは十分に製品等も揃いピークを迎えたように言われて いますが、いよいよ次のフェーズに注目が集まりそうですね。
Anti-forensic techniques in malwarehttp://seccure.blogspot.com/2009/05/anti-forensic-techniques-in-malware....
Mariusz Burdachさんによる久しぶりのブログポストです。マルウェアに搭載されているアンチフォレンジック技術に ついて書かれています。マルウェアの中にはGetFileTime()やSetFileTime()などのAPIを使ってインストール中や 実行中に自身のMAC time属性を変更するものがあるとのことです。
いつのまにか公式サイト(http://forensic.seccure.net/)のほうもリニューアルされていました。 まだ細かく見ていませんがツール類も更新されているのかもしれません。
GWを挟んだので取り上げている内容も多めです。
System Scannerhttp://www.codeproject.com/KB/winsdk/system_scaner.aspx
タスクマネージャの代替ツールとして作成されたツールで、仮想メモリのダンプも可能です。Windows 2000向けに作られています。
2009/04/20-26あたりの記事で気になった話題などを挙げておきます。
Undelete Plushttp://www.undelete-plus.com/
FAT, NTFSのファイル復元ツールです。非商用用途では無償で利用できます。
