最近(2009/04/13-19あたり)の記事で気になった話題などを挙げておきます。
efipw
http://code.google.com/p/efipw/
Fun with Apple EFI Firmware Passwords
http://paulmakowski.blogspot.com/2009/03/apple-efi-firmware-passwords.html
EFIのファームウェアパスワードを変更(解読)するCUIツールです。具体的にはnvramにあるパスワードを解読するとのこと。
実行にはroot権限が必要です。
$ gcc ./efipw.c -o EFIPW
$ sudo ./EFIPW -h
./EFIPW: illegal option -- h
Usage (as unprivileged user):
To reveal current firmware password: sudo ./EFIPW -d
# パスワード表示の場合は-dオプション
To set a new password: sudo ./EFIPW -p "newpassword" (-m "newmode")
Valid modes: none, command (default), full
# パスワード設定(変更)の場合は-pオプション。-mオプションのモード指定は不明
自分のMac(Leopard)の環境で試してみましたが、そもそもパスワードが設定されていないためかバスエラーが発生しました。
$ sudo ./EFIPW -d
Bus error
Reading Passwords from the Keyboard Buffer
http://computer.forensikblog.de/en/2009/04/read_password_from_keyboard_b...
メモリ上のデータからキーボードから入力されたデータ(ring buffer)を表示するVolatilityのプラグインが公開されています。
このプラグインを使えばBIOSやディスク暗号化パスワードを復元できる可能性があります。
BIOSのデータ領域は通常のダンプ手法では取得されず、Win32ddで-t 1オプションを付加して取得する必要があります。
EnScript to obtain DHCP and Static IP Address information
http://www.forensickb.com/2009/04/enscript-to-obtain-dhcp-and-static-ip....
Restore Pointsを含め、レジストリからDHCPまたはスタティックなアドレスを取得するEnScriptが公開されています。
Filter to remove duplicate for export
http://www.forensickb.com/2009/04/filter-to-remove-duplicates-for-export...
EnCaseのfilterが紹介されています。デフォルトで全ファイルから重複ファイルを削除するフィルタは用意されていますが、
ここでは選択(チェック)したファイルから重複ファイルをハッシュをチェックして除外するフィルタが公開されています。
SkypeAlyzer
http://www.sandersonforensics.com/content.asp?page=440
Skypeのデータベースファイルを解析するツールです。ログ、コンタクトリスト等を抽出することができます。
価格は100ポンドでデモ版も用意されています。
データ復旧株式会社
http://www.highspeedrecovery.com/
データ復旧サービスがHDD 1台1TBまでは126,000円で提供されています。
ディスク障害の程度やデータ量にかかわらない一律料金である点が新しいとのこと。
