2009-08-02
Extension Mismatch
Extension Mismatchとは、拡張子と実データの内容が異なるデータを探す手法である。例えば、GIF拡張子を持つファイルだが、中身は画像とは異なるデータを持つファイルのような場合である。
Extension Mismatchを探す機能は、Autopsyの『File Type Sortings』を使えば一気に調査出来る。(実際は、The Sleuth Kitのsorterコマンドを利用しているはずである。)
具体的には、次の通り。
- [File Type]を選択、[Sort Files by Type]を選択する。
- File Type Sortingという項目からSort条件を取得できるので、[Extention and File Type Validations]を選択して、OKを押して解析をスタートさせる。
- 解析が終了すると、Report SummaryとReport Fileの出力ファイル位置が表示される。
以下の結果をみると、Report Fileは/var/evidence/CASE001/host1/output/sorter-vol2/にすべて出力されており、Extentions Mismatchは2個あることがわかる。
当該個所に指定されている場所にあるレポート(mismatch.html)を見てみると次の通り。
C:/Image2.exe
GIF image data, version 89a, 343 x 440 (Ext: exe)
Image: /var/evidence/CASE001/host1/images/CASE001.dd Inode: 4
C:/Image1.exe
GIF image data, version 89a, 343 x 440 (Ext: exe)
Image: /var/evidence/CASE001/host1/images/CASE001.dd Inode: 7
参考文献にしたサイトでも指摘されていたように、基本的に名前部分の拡張子とファイルヘッダを比較してのみExtention Mismatchを検出しているようである。なので、ファイルヘッダを書き換えてしまうと、基本的には検出の対象外のようである。
【参考文献】
2009-07-29
レジストリ解析ツール
レジストリを解析する際に、稼働しているPCからregeditから調べることは少ない。
なぜなら、稼働しているPCをいじるとMACtimeを書き換えてしまったり、regeditでレジストリ情報を書き換えてしまう危険性がある。
そのため、情報の改ざんを減らす観点からも、取得したイメージからRegistry Fileを取得して、専用のRegistry Viewerから閲覧することが多い。フリーで利用できるRegistry Viewerとしては、MiTeC社で公開されているWindows Registry Recoveryが便利である。
- Windows Registry Recovery : MiTeC社から公開されている最新のレジストリ解析ツール
MiTeC社から過去公開されたRegistry解析ツールには、ほかにも次の様なツールがある。
- MiTeC Windows Registry File Viewer : MiTeC社では、現在公開されていない。
- Windows Registry Analyzer : MiTeC社では公開されていない。
不可視領域を見るツールとしては、次のツールがある。
不可視領域とは、Protected Storage System Providerと呼ばれIEに保存されたパスワード格納領域で暗号化されている。そのため、複合化するためには以下のツールを利用する。
2009-07-10
Computer Forensicに関するウェブサイト
Resource |
総合系ページは次の通り。
- SANS
- その他
概要系のページはこちら。
ノウハウ・解説系のページはこちら。
- ITPro 系統
ブログ系のページは、次の通り。
- Computer Forensics, Malware Analysis & Digital Investigations
- Forensic Incident Response
- Windows Incident Response
- Push the Red Button
- セキュリティは楽しいかね?
- CCI:Computer Crime Investigation
掲示板は次の通り。