Eiji James Yoshidaの記録 このページをアンテナに追加 RSSフィード Twitter

2015-05-14

[][] How to detect a promiscuous interface by using WMIC

You can detect a promiscuous interface if you use Windows Management Instrumentation Command-line (WMIC).

You don't need PromiscDetect and Promqry.

Supported OS

Windows XP Professional or later. (Vista/7/8/8.1)

Command

wmic /NAMESPACE:\\root\wmi PATH MSNdis_CurrentPacketFilter GET

NDIS_PACKET_TYPE

00000001     1      DIRECTED
00000010     2      MULTICAST
00000100     4      ALL_MULTICAST
00001000     8      BROADCAST
00010000     16     SOURCE_ROUTING
00100000     32     PROMISCUOUS

00001011     11     DIRECTED(1), MULTICAST(2), BROADCAST(8)
00101011     43     DIRECTED(1), MULTICAST(2), BROADCAST(8), PROMISC(32)

Non-promisc

C:\>wmic /NAMESPACE:\\root\wmi PATH MSNdis_CurrentPacketFilter GET
Active  InstanceName                             NdisCurrentPacketFilter
TRUE    Microsoft ISATAP Adapter                 0
TRUE    Teredo Tunneling Pseudo-Interface        0
TRUE    Intel(R) PRO/1000 MT Network Connection  11 <- Non-promisc
TRUE    WAN Miniport (Network Monitor)           0
TRUE    WAN Miniport (IP)                        0
TRUE    WAN Miniport (IPv6)                      0
TRUE    RAS Async Adapter                        0

Promisc

C:\>wmic /NAMESPACE:\\root\wmi PATH MSNdis_CurrentPacketFilter GET
Active  InstanceName                             NdisCurrentPacketFilter
TRUE    Microsoft ISATAP Adapter                 0
TRUE    Teredo Tunneling Pseudo-Interface        0
TRUE    Intel(R) PRO/1000 MT Network Connection  43 <- Promisc!!!
TRUE    WAN Miniport (Network Monitor)           0
TRUE    WAN Miniport (IP)                        0
TRUE    WAN Miniport (IPv6)                      0
TRUE    RAS Async Adapter                        0

2015-05-06

[][] Windows 8.1でメッセージダイジェストを確認するためにGet-FileHashコマンドレットを使うことにした

今までは「Windowsでメッセージダイジェストを確認するためにfcivを使うことにした」にも書いたようにfcivを使ってたんだけど、最近になってPowerShellのGet-FileHashコマンドレットを使えば良いことを知ったのでメモ。

Get-FileHash ファイル名 -Algorithm ハッシュ関数

(例)Get-FileHash c:\test.txt -Algorithm md5

あとはGet-FileHashコマンドレットを呼び出すバッチファイル*1にした下記のmd5sum.batやsha1sum.batをsendtoに置いてから右クリックの「送る」でファイルを放り込めば、メッセージダイジェスト*2が表示される。

ちなみにsendtoに移動するにはエクスプローラを開いてアドレスバーにsendtoと入れてEnterキーを押せば良い。

md5sum.bat

@echo off
powershell -Command "Get-FileHash '%1' -Algorithm md5 | Format-List"
pause

sha1sum.bat

@echo off
powershell -Command "Get-FileHash '%1' -Algorithm sha1 | Format-List"
pause

関連エントリ

Windowsでメッセージダイジェストを確認するためにfcivを使うことにした

[] ドライヤーを購入

最近のドライヤーは凄い」に書いたドライヤーから異音がするようになったので、約8年ぶりにドライヤーを購入。

今回もナノケアなのは前回のドライヤーもナノケアで乾きが良くて気に入ってたから。

風量が1.3立方メートル/分以上無いと髪を乾かしていてイライラするんだよね。ホテルのドライヤーとか「乾くまで何年かかんだよ!!!」って壁に投げつけたくなるんで、風量が少ないと精神的に良くない。

EH-NA96を使ってみた感想は、頑丈な作りだけど重く無く十分な風量で気に入った。結構高いから、これも8年くらい壊れないで使えると嬉しいなぁ〜

*1PowerShellに馴染めないので未だにバッチファイルです・・・・

*2ハッシュ値

2015-04-27

[][] 「情報セキュリティ実践トレーニング June 2015」の受講者を募集中!

2015年6月8日(月)〜6月10日(水)開催の「情報セキュリティ実践トレーニング June 2015」の受講者を募集中です。

情報セキュリティ実践トレーニング June 2015(www.sec-pro.net)

応募締切日: 5月24日(日)まで

各トレーニングコースではフリーで入手可能なさまざまなツールを使用しハンズオン実習を行うので、現場ですぐに役立つ実用的な技術を身につけることができます。

セキュリティ技術者を目指す若手の方、現役バリバリの技術者の方、セキュリティマネージメントのご担当者など、幅広い受講者層を想定しておりますので、ぜひこの機会にご参加くださいますようお願いいたします。

2015-04-14

[][] Windows 7以降のnetsh traceコマンドでパケットをキャプチャする方法

Windows 7以降*1のnetsh traceコマンドを使うとWindowsの標準機能だけでパケットをキャプチャできるので、やり方をメモ。

使用するコマンドプロンプトは管理者として実行する。

  • キャプチャ開始
    • netsh trace start capture=yes traceFile=<キャプチャファイル名>
      • netsh trace start capture=yes traceFile=C:\packets.etl
  • キャプチャ停止
  • 代表的なキャプチャフィルター
    • CaptureInterface=<インターフェース名または GUID>
      • CaptureInterface="ローカル エリア接続"
        • netsh trace show interfaces でインターフェース一覧表示
    • Ethernet.Type=<イーサネットの種類>
      • Ethernet.Type=IPv4
    • Protocol=<プロトコル>
      • Protocol=TCP
    • IPv4.Address=<IPv4アドレス>
      • IPv4.Address=192.0.2.1
    • IPv4.SourceAddress=<送信元IPv4アドレス>
      • IPv4.SourceAddress=192.0.2.1
    • IPv4.DestinationAddress=<送信先IPv4アドレス>
      • IPv4.DestinationAddress=192.0.2.1
  • 既定値
    • capture=no
    • capturetype=physical
    • report=no
    • persistent=no
    • maxSize=250
    • fileMode=circular
    • overwrite=yes
    • correlation=yes
    • perfMerge=yes
    • traceFile=%LOCALAPPDATA%\Temp\NetTraces\NetTrace.etl
    • providerFilter=no
  • ヘルプ
    • netsh trace start help
    • netsh trace show capturefilterhelp

あとはEvent Trace Log File (.etl)をMicrosoft Message Analyzerで解析すれば良い。

またEvent Trace Log File (.etl)はWiresharkで開けないので、Microsoft Message AnalyzerでNetwork Monitor Capture File (.cap)に変換すればWiresharkでも開けるようになる。

その他、参考になりそうなURLは下記の通り。

ちなみに試してみて予想外だったのはnetsh traceコマンドではPromiscuous Modeにならないことかな。なので、Promiscuous Modeでキャプチャしたい場合はWiresharkなどでキャプチャする必要がある。

関連エントリ

How to detect a promiscuous interface by using WMIC

*1:サーバOSだとWindows Server 2008 R2以降

2015-04-09

[][] 清澄白河にあるブルーボトルコーヒーに行ってきた

凄く並んでいることで話題になっている清澄白河ブルーボトルコーヒーに行ってきた。

コーヒー飲むのに並ぶのは絶対に嫌なのでtwitterで調べたところ、どうやら平日の昼前後は空いているっぽい*1ので11時頃に行ってみたら全く並んでなかった。

f:id:EijiYoshida:20150409110917j:image f:id:EijiYoshida:20150409111613j:image

f:id:EijiYoshida:20150409112332j:image

とりあえずカフェラテを飲んでみたけど飲みやすくて美味しいね!ただ、コーヒー好きには少々薄いかも。

食事もしてみたかったんだけど、さすがにテーブルは満席で全然動かないので諦めた。そもそも店内の飲食スペースが思っていた以上に狭い。

コーヒー立ち飲みしながら友人と30分ほどお喋りして帰ろうとしたときには店内に結構並んでいたので、12時は避けたほうが良さそう。

ちなみに、また行きたいですかと言われると、近所なら行くけどわざわざ電車で行って並ぶほどでは無いかな。

*1:他の時間に行っていないので本当に空いていたのか正直わからないけど