Forensics tools for windows

5f9309c6fe879950878bb3d7b039a7b9?s=47 Aqua
November 14, 2019

Forensics tools for windows

5f9309c6fe879950878bb3d7b039a7b9?s=128

Aqua

November 14, 2019
Tweet

Transcript

  1. Forensic tools for windows(没スライド) あくあ

  2. Tools • Disk image(Real like, little CTF like) • IR

    tools (Real like) • Time line (Real like) • Event log (Real like) • Carving (CTF like) • Memory (CTF like) • 個人的によく使うツール(CTF like) • Let’s CTF!
  3. Disk image

  4. Disk image • FTK Imager • ディスクイメージ・メモリイメージの取得 • 取得したイメージを論理ドライブとして展開(削除フラグが立ってるだけの ファイルとかは簡単に復元が可能)

    • Autopsy • ケースを作成するのが少し面倒。 • タイムラインも作成できる • VSS • FTK imagerとの違いはシャドウコピーを展開することが可能 • Fat32Fomatter • OS標準機能ではフォーマットできないときに使う
  5. FTK Imager • Access dataからダウンロードする • https://accessdata.com/product-download/ftk-imager-version-4- 2-0 • JobとかはNoneでも通る

    (ガバい)
  6. IR tools

  7. IR tools • Autoruns • スタートアップ、レジストリ、サ一ビスなど、Windowsの自動起動に登 録されているプログラムの一覧表示が可能なッ一ル。 • ファイルのデジタル署名確認 Viruslotalのチエック

    オフラインシステム のチエックにも対応 • Sigcheck • ファイルのデジタル署名、ハッシュ値の確認が可能なッ一ル。 • UserAnsist • ューザ一毎のレジストリフアイル(NTUER.DAT) 内に保存されている、 エクスプ口ーラ経由のプログラムの実行履歴を表示するッ一ル。任意の NTUSER DATの読み込みにも対応
  8. IR tools • RegRipper • レジストリフアイルを解析し、主要なレジストリキ一、値の 内容にっいて解析結果を表示するッ一ル。 • Kaniregとかもあるらしい •

    RegistryEoploror.RECrnd • レジストリフアイルの閲覧ツ一ル • キーの最終更新日時などを確認 することが可能
  9. Time line

  10. Time line • ファイルの変更履歴とか • Autopsy • 使い慣れてる • fte_1.8.2

    • NTFS MElフアイルの バ一スなど、ファイル システムの保存している タイムスタンブ情報の 詳細情報を表示するツ一ル。
  11. Event log

  12. LPSV2.D1 • 口グパーサをGUlべースで操作する為のッ一ル。 • LPSを利用する事でイペントログファイルに対して、事前に定義 したSQL構文に従い条件にー致するレコードを表示する事が可能。

  13. Carving

  14. カービング • ファイルシグネチャを見てデータを引き抜く手法のこと • binwalkとかforemostとかも。 • BulkExtractur • GUIで見やすい。 •

    URLやemailアドレス等の取得 • レポート化 • PhotoRec • セクターサイズ1での フルカービングがとても強い。 (Intro KosenもForensicも抜けた。) BulkExtractur
  15. Memory

  16. volatility • メモリ系代表 • GUI版もある • Volatility Workbench(なぜかimageinfoがないのでCUIがさいつよ) • KaniVola

    • プラグインも豊富 • mimikatzで資格情報を得たりもできる(OtterCTF 2018) • https://github.com/volatilityfoundation/community/tree/master/Fr ancescoPicasso
  17. volatility • 基本的な流れはまずはimageinfoを取得してからProfileを指定す る。 • コマンドリファレンス • https://github.com/volatilityfoundation/volatility/wiki/Comma nd-Reference •

    上のコマンドリファレンスだけ見てると抜けがちだが、クリップ ボードの取得とかもできる • https://github.com/volatilityfoundation/volatility/wiki/Comma nd-Reference-Gui
  18. 個人的によく使うツール(CTF like)

  19. • 青い空を見上げればいつもそこに白い猫 • うさみみハリケーンについてる • うさみみハリケーンもつよい。 • https://digitaltravesia.jp/usamimihurricane/HowToUseUsaMim i.html •

    stego-toolkit • https://github.com/DominicBreuker/stego-toolkit
  20. 青い空を見上げればいつもそこに白い猫 • うさぴょん先生作 • 汎用ファイルアナライザ • ファイル形式判定(file) • 16進エディタ •

    文字コード抽出(strings) • x86/x64逆アセンブル • ステガノグラフィー解析(stegsolve) • ビット抽出(LSB, MSB) • Gifのフレーム表示
  21. stego-toolkit • https://github.com/DominicBreuker/stego-toolkit • 自分はtoolbox on vitualbox on windowsで動かしています。 •

    docker run -it --rm -v /c/Users/Aqua/Docker/stego- toolkit/data:/data dominicbreuker/stego-toolkit /bin/bash • XXX_check.sh <stego-file> • png_check.sh, jpg_check.shなど初動調査で使えます • exiftoolやzstegなどが動く
  22. Let’s CTF

  23. Otter CTF • 1 - What the password? • vmmemが与えられる。まだダウンロードできる。

    • https://mega.nz/#!sh8wmCIL!b4tpech4wzc3QQ6YgQ2uZnOm ctRZ2duQxDqxbkWYipQ • you got a sample of rick's PC's memory. can you get his user password? format: CTF{...}
  24. 1 - What the password?

  25. Thank you for watching.