File System creation date vs. Operating System install date - Part I
http://www.forensickb.com/2009/05/file-system-creation-date-vs-operating...
ファイルシステムの作成時間とOSのインストール時間に関する注意点が紹介されています。
通常のWindowsインストール時には、NTFS作成の後に必要ファイル類がコピーされて
インストール完了となりますが、ファイルシステム作成時の$MFTなどの内部オブジェクトに
格納されるタイムスタンプ(MACE Time)はBIOSのタイムゾーンを引き継いで記録します。
一方NTFSは基本的にタイムスタンプをGMTで記録するため、BIOSの時間情報のタイムゾーンが
GMTでなかった場合、その分のずれが生じます。OSのインストール時間は以下のレジストリ値に
記録されます。
HKLM\Software\Microsoft\Windows NT\CurrentVersion\InstallDate
この時間は通常NTFSの$MFTのCreation Timeから約1時間後になりますが、大幅にずれて
いた場合はBIOSのタイムゾーンを確認したほうがよいでしょう。
USB Prober
http://forensicsfromthesausagefactory.blogspot.com/2009/05/usb-prober.html
MacのXCode developer toolsに含まれているUSB ProberというツールでUSBデバイスの
シリアル番号等の参照が可能です。フォレンジック観点では、使う前に以下のコマンドを実行して
オートマウントしないように設定をしておく必要があります。
# sudo launchctl unload /System/Library/LaunchDaemons/com.apple.diskarbitrationd.plist
F-Response selected by the Supreme Prosecutor's Office Korea
http://www.f-response.com/index.php?option=com_content&task=view&id=136&...
韓国の最高検察庁(法務省?)がライブやリモートのフォレンジック保全やレビュー作業に
F-Responseを採用したとの発表です。F-Responseはそれほど高くないこともあり、今後
もっと普及していくのではと思います。
Backtrack 4 Forensics Capabilities
http://www.offensive-security.com/blog/backtrack/backtrack-forensics/
ペネトレーション用ライブCDのイメージが強いBacktrackですが、バージョン4では
Forensics用の起動オプションが追加されています。デフォルトではデバイスを
自動マウントしswapパーティションも使用領域にしますが、このオプションを選択して
起動するとどちらも無効にします。
Host file black lists
http://isc.sans.org/diary.html?storyid=6469
ドメイン等のブラックリストに関する情報がまとめられています。
不正侵入系の調査に使う機会があるかもしれません。
