ホームForensicReference

WhitePaper

月, 2008/09/15 - 20:38 — kazamiya

Forensic Analysis of GPT Disks and GUID Partition Tables
http://www.digitalforensics.ch/nikkel09.pdf

GPTのオフセット情報や使えるツールなどがまとめられています。GUID自体昔はタイムスタンプやMACが含まれる有用な情報を使っていましたが、最近はそうでもないとのことです。

Capturing Timestamp Precision for Digital Forensics
http://www.infosec.jmu.edu/reports/jmu-infosec-tr-2009-002.pdf

主要OSやアプリケーションに対して、扱っている時間情報の精度や丸める挙動などの解析結果がまとめられています。

Computer forensic timeline visualization tool
http://www.dfrws.org/2009/proceedings/p78-olsson.pdf

DFRWS 2009で発表されたタイムライン系の論文です。著者がCFTLというツールを作っており、コンセプトはかなり良さそうですが、まだ一般には公開されていません。

Forensic Analysis of Internet Explorer Activity Files
http://sourceforge.net/projects/odessa/files/ODESSA/White%20Papers/IE_In...

index.datの構造について記載されています。不明な部分も多くありますが十分参考になります。軽く調べてみましたがVista/7(IE7, 8)でも構造に変更はなさそうです。

Forensic Analysis of Microsoft Internet Explorer Cookie Files
http://sourceforge.net/projects/odessa/files/ODESSA/White%20Papers/IE_Co...

IEが格納する個別のCookieファイルの構造について記載されています。こちらもVista/7(IE7, 8)でも構造に変更はなさそうです。

Forensic Analysis of Microsoft Windows Recycle Bin Records
http://sourceforge.net/projects/odessa/files/ODESSA/White%20Papers/Recyc...

INFO2の構造について記載されています。ただ、Vista/7からはINFO2がなくなり名前が$Iで始まるファイルが個別で管理するようになったためXPまでで有効な情報です。

Forensics of BitTorrent
http://www.ma.rhul.ac.uk/static/techrep/2008/RHUL-MA-2008-04.pdf

Hiding Information in Retransmissions
http://arxiv.org/ftp/arxiv/papers/0905/0905.0363.pdf

Filesystem Forensics
http://80d.org/~quietriot/carolinacon/2007/CarolinaCon07-FilesystemForen...

不正侵入の発見
http://www.nic.ad.jp/ja/materials/security-seminar/20050203/4-kato.pdf

Forensic Analysis of the Windows Registry
http://www.forensicfocus.com/downloads/forensic-analysis-windows-registr...

A Windows Registry Quick-Reference for the Everyday Examiner
http://eptuners.com/forensics/contents/A_Forensic_Examination_of_the_Win...

AccessData Registry Quick Find Chart
http://www.accessdata.com/media/en_US/print/papers/wp.Registry_Quick_Fin...