現在地

ホームブログkazamiyaさんのブログ

2009/05/10

日, 2009/05/10 - 19:54 — kazamiya

GWを挟んだので取り上げている内容も多めです。

System Scanner
http://www.codeproject.com/KB/winsdk/system_scaner.aspx

タスクマネージャの代替ツールとして作成されたツールで、仮想メモリのダンプも可能です。Windows 2000向けに作られています。

PTK Applicance
http://ptk.dflabs.com/appliance.php

PTKが含まれているラック型のアプライアンスが発売されています。
スペックはXeon 2.5GHzクアッドコア、4GBメモリ、1TBハードディスクとなっています。

DFLabs is proud to annouce the new data carving feature of PTK
http://ptk.dflabs.com/news.php?id=187

PTKにデータカービングの機能が加わりました。アプライアンス版でのみ利用可能なようです。
画像を見た限りではforemost/scalpelレベルの実装に見えます。

Disarming a PDF File
http://blog.didierstevens.com/2009/04/29/quickpost-disarming-a-pdf-file/

PDFドキュメントのJavaScriptを無効にするツールPDFiDが公開されています。

SIFT Workstation Version 1.3 Released
http://sansforensics.wordpress.com/2009/04/30/sans-sift-workstation-vers...

SIFTはフォレンジック調査用のVMwareイメージです。新たなバージョン1.3が公開されています。
ツールはHelixとほぼ同じものが含まれているようです。

SIFTではホストOS側から/imagesと/mnt/hackをファイル共有できるように設定されています。

Maine State Police - Keyword Search & Export EnScript
http://www.forensickb.com/2009/04/maine-state-police-keyword-search.html

既知の違法マルチメディアファイルを効率的に特定するための支援EnScriptが公開されています。
このEnScriptはharvesterというプログラムと連携するように作られています。harvesterは通常の
ファイルヘッダからではなくデータ部の中間にある任意の10バイトを比較対象に使っています。

Apple Property List: Comparing the Mac OS X Property List to the Windows Registry
http://www.forensicfocus.com/apple-mac-os-x-property-list

Mac OS Xのプロパティリスト(plist)について記述されています。Windowsのレジストリを比較対象にしており、
レジストリの概念がわかっている人には入りやすい内容だと思います。plistにはXML, バイナリ、ASCIIの3つの
異なるフォーマットがあり、現在はXMLが最も一般的です。バイナリはまだ使われていることもありますが、
ASCIIはほぼ無いと考えて差し支えありません。XMLフォーマットのplistはテキストエディットなどで
開いても見がたいので専用のエディタを使います。記事では商用ソフトとしてPlist Edit ProやFile Juicerが
紹介されています。

Autorun, Recent Item, Wireless Network, Mounted Devices, Internet HistoryなどWindowsの
レジストリでも馴染みのある調査対象をplistの場合ではどこをどう見るか解説されています。

Helix Imaging PC
http://forensicsfromthesausagefactory.blogspot.com/2009/05/helix-imaging...

Helixをハードディスク上にインストールして保全用の各種ツールを設定する手順が記載されています。

Large Memory Acquisitions
http://www.cutawaysecurity.com/blog/archives/533

32bit Windowsで4GB以上の物理メモリをどう取得するかという話です。現状のツールでは64bit OSでも
4G超えでブルースクリーンが発生するとのことですが。。

ForensicSoft Announces Forensically Sound Windows Bootable Environment
http://www.forensicfocus.com/index.php?name=News&file=article&sid=1158

SAFEというWindowsベースの保全環境用ツールがリリースされています。ブータブルイメージ形式で
OSはライセンス有効なWindows PEのようです。ツール使用中はハードウェアレベルのライトブロックを
実現しているように書かれていますが詳細はよくわかりません。Consultant Versionが$399.00、
Enterprise Versionが$1199.00です。

Cisco Router and Switch Forensics: Investigating and Analyzing Malicious Network Activity
http://www.amazon.co.jp/gp/product/1597494186/ref=pe_2102_12425042_snp_dp

書籍としてこの系列は初でしょうか。528ページで\5408。5/15発売です。

Csaba Barta
http://www.csababarta.com/

PTFinderのWindows Server 2003/2008, Windows 7用が公開されています。

Copyright (c) www.kazamiya.net