Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
コンピュータフォレンジックにちょっとだけ触れてみる
Search
Infiniteloop
July 14, 2023
Programming
0
50
コンピュータフォレンジックにちょっとだけ触れてみる
2014年6月20日に開催された勉強会 OpenIL Vol2内で使用されたスライド資料。
Infiniteloop
July 14, 2023
Tweet
Share
More Decks by Infiniteloop
See All by Infiniteloop
俺の PHP プロファイラの話 PHP スクリプトで PHP 処理系のメモリをのぞき込む
infiniteloop_inc
0
270
心理的安全性を学び直し、 「いい組織とは何か?」を考えてみる
infiniteloop_inc
0
340
ゼロからつくる 2D物理シミュレーション ~物理現象をコードに落とし込む方法~
infiniteloop_inc
0
410
詫び石の裏側
infiniteloop_inc
0
370
[新卒向け研修資料] テスト文字列に「うんこ」と入れるな(2024年版)
infiniteloop_inc
6
25k
リファクタリングで実装が○○分短縮した話
infiniteloop_inc
0
140
ADRという考えを取り入れてみて
infiniteloop_inc
0
130
500万行のPHPプロジェクトにおけるログ出力の歩み
infiniteloop_inc
0
110
I ❤ Virtual Machines 仮想環境をより便利に使うツールたち
infiniteloop_inc
0
83
Other Decks in Programming
See All in Programming
アジャイルを支えるテストアーキテクチャ設計/Test Architecting for Agile
goyoki
9
3.3k
Why Jakarta EE Matters to Spring - and Vice Versa
ivargrimstad
0
1.1k
聞き手から登壇者へ: RubyKaigi2024 LTでの初挑戦が 教えてくれた、可能性の星
mikik0
1
130
What’s New in Compose Multiplatform - A Live Tour (droidcon London 2024)
zsmb
1
470
CSC509 Lecture 12
javiergs
PRO
0
160
3 Effective Rules for Using Signals in Angular
manfredsteyer
PRO
0
100
色々なIaCツールを実際に触って比較してみる
iriikeita
0
330
ECS Service Connectのこれまでのアップデートと今後のRoadmapを見てみる
tkikuc
2
250
ActiveSupport::Notifications supporting instrumentation of Rails apps with OpenTelemetry
ymtdzzz
1
230
Laravel や Symfony で手っ取り早く OpenAPI のドキュメントを作成する
azuki
2
120
Compose 1.7のTextFieldはPOBox Plusで日本語変換できない
tomoya0x00
0
190
3 Effective Rules for Using Signals in Angular
manfredsteyer
PRO
1
100
Featured
See All Featured
Large-scale JavaScript Application Architecture
addyosmani
510
110k
Ruby is Unlike a Banana
tanoku
97
11k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
27
4.3k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
250
21k
Teambox: Starting and Learning
jrom
133
8.8k
The Language of Interfaces
destraynor
154
24k
Imperfection Machines: The Place of Print at Facebook
scottboms
265
13k
Optimizing for Happiness
mojombo
376
70k
Happy Clients
brianwarren
98
6.7k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
44
6.8k
The Straight Up "How To Draw Better" Workshop
denniskardys
232
140k
How GitHub (no longer) Works
holman
310
140k
Transcript
コンピュータフォレンジックに ちょっとだけ触れてみる OpenIL vol.2 松本聡
自己紹介 名前 松本聡(rarere) 仕事 インフラ方面
とある勉強会
せきゅぽろナイトセミナー♯10 インシデントレスポンスにおけるフォレンジック
実際にやってみました。 一部拡大
そのときのおやつ
None
きのとや チーズタルト
きのとや チーズタルト 通販も可 http://www.kinotoya.com/shop/
目次 • コンピュータフォレンジック? • どうやってやる? • やってみる
コンピュータフォレンジック?
コンピュータフォレンジック? • パソコンとかの機器のログやら状態やらを詳細 に調査して、何が起こったかを立証する証拠集 め(法的な意味で)
コンピュータフォレンジック? • パソコンとかの機器のログやら状態やらを詳細 に調査して、何が起こったかを立証する証拠集 め(法的な意味で) • フォレンジックには鑑識という意味もある
コンピュータフォレンジック? • パソコンとかの機器のログやら状態やらを詳細 に調査して、何が起こったかを立証する証拠集 め(法的な意味で) • フォレンジックには鑑識という意味もある • 意訳すると、デジタル鑑識
コンピュータフォレンジック? • パソコンとかの機器のログやら状態やらを詳細 に調査して、何が起こったかを立証する証拠集 め(法的な意味で) • フォレンジックには鑑識という意味もある • 意訳すると、デジタル鑑識 •
というのがIT用語辞典とかwikipediaとかに書い てある。
コンピュータフォレンジック? すごくざっくりとした説明なので、ネットエージェント さんのサイトとかwikipediaとかいろいろ見てくださ い。
フォレンジックでぐぐると デジタルフォレンジックが 上にでてくる
デジタルフォレンジック? コンピュータフォレンジック?
パソコンのフォレンジックするの がコンピュータフォレンジック (デジタルフォレンジックとも) ネットワークフォレンジック というのもある(パケット見たり)
文献によってさまざまなようなの で、今回は同じ意味ということに しておいてください。
具体的に何を見る? • いろんな設定 ◦ たとえばネットワークの設定やらグループポリシーやら。 • HDDに記録されてるログ ◦ イベントログ、レジストリ、プリフェッチとか •
メモリのダンプ とりあえず今回はこの辺を見る。
どうやってやる? OSSとかで、それができるものがある。
フォレンジックに使える道具たち • Sysinternals Suite • The Coroner’s Toolkit • Sleuth
Kit & Autopsy • userassist • winprefetchview • volatility • dumpit • ftkimager
フォレンジックに使える道具たち • Sysinternals Suite • The Coroner’s Toolkit • Sleuth
Kit & Autopsy • userassist • winprefetchview • volatility • dumpit • ftkimager 赤字のものを触ってみます。
フォレンジックに使える道具たち • Sysinternals Suite • The Coroner’s Toolkit • Sleuth
Kit & Autopsy • userassist • winprefetchview • volatility • dumpit • ftkimager 赤字のものを触ってみます。 UserAssist(レジストリ) プリフェッチ メモリの解析
UserAssist
UserAssist • レジストリに記録されてるもの • 使ったアプリケーションの履歴が記録されてる ◦ パス、実行回数、時間… • HKEY_CURRENT_USER\Software\Microsof t\Windows\CurrentVersion\Explorer\UserAssi
st\
UserAssist レジストリエディタで確認
UserAssist 一部拡大。 よくわからない文字列 日本語はそのまま ROT13という 暗号化処理された 文字列
ROT13 ROT13 または ROT-13、rot13 は単換字式暗号 (シーザー暗号)の一つである。アルファベットを一 文字毎に13文字後のアルファベットに置き換える。 Aは Nに、 B
は O に置き換えられ、以下同様であ る。英語の "Rotate by 13 places" の略(ry wikipedia http://ja.wikipedia.org/wiki/ROT13
ROT13 http://ja.wikipedia.org/wiki/ROT13
UserAssist こんな感じの バイナリ値で 保存されてる
UserAssist 赤:実行回数 青:時間
UserAssist わからん
UserAssist 見てくれるツールあるよ!
UserAssist デモ
プリフェッチ
プリフェッチ • Windows(XP以降)には、プリフェッチというアプ リケーション起動速度向上のための仕組みがあ る • 「%SystemRoot%\Prefetch」というプリフェッチ フォルダに、「.pf」という拡張子のファイルがあ る。
プリフェッチ http://windows.microsoft.com/ja-jp/windows-vista/what-is-the-prefetch-folder
プリフェッチ • 実行ファイル • ファイルパス • 実行時間 • 実行回数 •
関係しているファイル などがわかる
プリフェッチ フォルダを閲覧
プリフェッチ
プリフェッチ バイナリのどの部分が何で…というのは聞いたけ ど覚えてない。 やっぱりわからん
プリフェッチ
winprefetchview デモ
メモリの解析
メモリの解析 メモリのダンプとって解析する • OS情報 • プロセスのリスト • それらが使ってたDLL一覧 • コネクション情報
• 開いてたファイル など、いろいろわかる。
メモリの解析 • メモリのダンプ ◦ ftkimager • ダンプしたメモリの解析 ◦ volatility メモリのダンプできるのは他にもあるけどとりあえ
ず今回はこれで。
ftkimager FTK Imager Lite version 3.1.1でOK メモリのダンプはちょっと時間がかかります
volatility pythonのスクリプト Windows用のバイナリもある
volatility インストールはここ見て頑張る https://code.google. com/p/volatility/wiki/FullInstallation#Installation_ Prerequisites 結構面倒 pythonの3じゃ動かない 64bitのpyhton2.7だとだめかも? 多分準備するならLinuxのほうが楽。
自分のPCで解析しようと思ったけど… Windows7までしか対応してなかった。(手元のPC はWindows8.1) >Support for Windows 8, 8.1, Server 2012,
2012 R2, and OSX 10.9 (Mavericks) is either already in svn or just around the corner, so stay tuned for our next release! https://code.google.com/p/volatility/
サイトにあるメモリのサンプルでやる マルウェアが動いてる状態の分とか、 何もない自分のPC見るより面白そう
メモリ解析 デモ
\e
infiniteloop_inc
goyoki
ivargrimstad
mikik0
zsmb
javiergs
manfredsteyer
iriikeita
tkikuc
ymtdzzz
azuki
tomoya0x00
addyosmani
tanoku
kevinliebholz
smashingmag
jrom
destraynor
scottboms
mojombo
brianwarren
eileencodes
denniskardys
holman
