【補足資料】デジタルフォレンジック基礎

Transcript

1. 【補足資料】 デジタルフォレンジック

2. デジタルフォレンジック • 犯罪捜査や法的紛争などで、コンピュータなどの 電子機器に残る記録を収集・分析し、その法的 な証拠性を明らかにする手段や技術の総称 http://e- words.jp/w/%E3%83%87%E3%82%B8%E3%82%B F%E3%83%AB%E3%83%95%E3%82%A9%E3%83 %AC%E3%83%B3%E3%82%B8%E3%83%83%E3% 82%AF.html

   • 「デジタルフォレンジック」＝通称「フォレンジック」 © Tadahi KAWARAGI 2017

3. デジタルフォレンジック • 目的 – 犯罪捜査 – インシデントレスポンス • 分野別フォレンジック –

   ディスクフォレンジック →フォレンジック（3day）にて – ライブフォレンジック • メモリフォレンジック →フォレンジック（2day）にて – モバイルフォレンジック など © Tadahi KAWARAGI 2017

4. フォレンジック（1day）の趣旨 • ディスクフォレンジックで解析対象となる Windowsの以下の要素について確認を行う – レジストリ – イベントログ • ディスクの保全も含めたディスクフォレンジッ

   クについては再来週ご紹介。 © Tadahi KAWARAGI 2017

5. レジストリ • Windowsの設定情報が 格納されているデータ ベース • 複数のハイブファイル で構成 – C:¥Windows¥System32¥

   config • 標準編集ツール：レジ ストリエディタ © Tadahi KAWARAGI 2017

6. イベントログ • Windowsが標準機能で 出力するログ • 複数のイベントログファイ ルで構成 – C:¥Windows¥System32¥wi nevt¥Logs

   – ログファイルをコピーし、ほ かのマシンで参照できる • 標準参照用ツール：イベ ントビューアー – フィルタ機能などもあるが、 豊富ではない • セキュリティログ – セキュリティに関する情 報が格納 © Tadahi KAWARAGI 2017

7. イベントIDについて • セキュリティログのイベントIDをExcelファイル にまとめているドキュメント Download Windows security audit events from

   Official Microsoft Download Center https://www.microsoft.com/en- us/download/details.aspx?id=50034 • 日本語リソースだと以下のサイトの記事がわ かりやすい（古い記事だが・・・） – Windows イベントログ システム,アプリケーション のエラーログ http://eventlog.whitefox.jp/ © Tadahi KAWARAGI 2017

8. UserAssistについて • HKEY_CURRENT_USERの UserAssist 配下にプ ログラム回数が記述されるキーがある • このキーを解析して、そのシステム上で利用 したツールの解析ができる。 •

   解析ツールを利用すると便利 – UserAssistView http://www.nirsoft.net/utils/userassist_view.html © Tadahi KAWARAGI 2017