Shikata Ga Nai

Private? There is no such things.

デジタルフォレンジック

Twitterにアップしたデジタルフォレンジック関連記事をまとめてみた

Hello there, ('ω')ノ この三連休で、Twitterにアップしたデジタルフォレンジックに関係するツール等は以下のとおりで。 Windowsのイベントログについて検索するのに便利なデータベースサイトは、いろいろとあります。https://www.ultimatewindowssecurity.c…

linux explorerを導入してみた

Hello there, ('ω')ノ linux explorerは、Linuxエンドポイント用のライブフォレンジックツールボックスで。 git clone https://github.com/intezer/linux-explorer.git インストールして。 pip install -r requirements.txt apt install yara apt install ch…

マルウェア情報共有プラットフォームを構築してみた

Hello there, ('ω')ノ MISPというマルウェアの情報共有プラットフォームというものがありまして。 マルウェアやエクスプロイトに関するデータを保存するプラットフォームだとか。 チーム内でインテリジェンスを共有できる便利な機能が豊富なようで。 MISPは…

プロセス生成コントロールをためしてみた

Hello there, ('ω')ノ マルウェアの調査に活用できる1つの手法として。 プロセス生成コントロールというものがあるらしく。 まずは、下記のURLからスクリプトをダウンロードして。 https://github.com/felixweyne/ProcessSpawnControl このPowerShellスクリ…

プロセスエクスプローラをつかってみた

Hello there, ('ω')ノ 実行中のマルウェアの詳細な検査ができるツールのひとつで。 Windows SysinternalsのProcess Explorerというものがあって。 なんとなくタスクマネージャのプロフェッショナル版のようなツールでして。 https://docs.microsoft.com/ja-j…

インシデント調査に価値のあるレジストリファイルについてかいてみた

Hello there, ('ω')ノ デジタルフォレンジックの勉強は、うまくいったりかなかったりで。 うまくいかなかったら一旦保留にして、別のカテゴリに移るしかないと。 脆弱性診断と同じようにいつの間にか点と点とがつながっていくはずで。 昨日は災難でして。 フ…

デジタルフォレンジックのテスト用イメージをさがしてみた

Hello there, ('ω')ノ テスト用のイメージをダウンロードして。 Autopsyで読ませるものの、最後の最後でエラーがでてしまって。 ダウンロードしたファイルは消えていたりと。 なかなか思うように進まず。 NISTのテストケースは範囲が広く。 下記のサイトだと…

Autopsyを使うための準備をはじめてみた

Hello there, ('ω')ノ Autopsyは、GUIベースのフォレンジックプラットフォームで。 このオープンソースプラットフォームのAutopsyには。 商用プラットフォームと同じ機能があるようで。 たとえば ・タイムライン分析 ・キーワード検索 ・Webや電子メールのア…

主要なデジタルフォレンジックツールについて触り程度にまとめてみた

Hello there, ('ω')ノ デジタルフォレンジックのツールは、以下の3つが健全だと認められているようで。 世界中の商業や政府機関で使用されているとのこと。 OpenText EnCase https://www.opentext.com/products-and-solutions/services/training-and-learni…

フォレンジックツールのテストについて少しだけふれてみた

Hello there, ('ω')ノ 何気にデジタルフォレンジックの世界をのぞいてみたものの。 この世界は、テクニカル以外にいろいろと難しい問題もあったりで。 ディスク分析でソフトウェアを調べる際には。 対処する必要要件みたいなものがあるようで。 1つ目は、プ…

PeStudioでマルウェアを静的解析してみた

Hello there, ('ω')ノ 単一のファイルを静的解析するのに『PeStudio』というツールがあって。 https://www.winitor.com/get.html ダウンロードして、『PeStudio』を起動するとこんな感じで。 今回は、下記のところからマルウェアのサンプルを取得して。 その…

ClamAVでマルウェアをさがしてみた

Hello there, ('ω')ノ マルウェアの静的分析を行うのにいろんなツールがあるようで。 その中でも、ディレクトリ内の疑わしいファイルをスキャンするのが『ClamAV』で。 https://www.clamav.net/ 下記のページに移動して、該当するOSのバージョンをダウンロー…

分析トレーニング用のマルウェアのサンプルについてかいてみた

Hello there, ('ω')ノ マルウェアの分析のトレーニングをするには、マルウェアが必要で。 下記のサイトは、マルウェアのサンプルを提供してくれて。 サンプルのパスワードは、『infected』(感染)とのこと。 http://malware-traffic-analysis.net/ 別のペー…

マルウェア分析の方法についてしらべてみた

Hello there, ('ω')ノ 実際のマルウェアに対しての分析処理は、以下の本がお勧めのようで。 Stuxnetウィルスについて深く掘り下げて書かれているとか。 また、Lenny Zeltserといったマルウェア分析の専門家がいて。 下記サイトでは、マルウェア分析方法論を…

FTK Imagerを別のPCでためしてみた

Hello there, ('ω')ノ なかなか気になって。 そこで、ふと気づいて別のPCでFTK Imagerを試すことに。 なんと難なくキャプチャが動いてくれた。 このPCは容量が小さすぎてWindows Updateもできず。 セキュリティ対策も野放し状態。 もしかするとウィルス対策…

デジタルフォレンジックツールをインストールしてみた

Hello there, ('ω')ノ このところ、いろんなことを並行してやってまして。 覚えたり悩んだりする日々で、特にネタとなるような内容でもなく。 昨日は、フォレンジックツールをつかっていて。 下記のサイトからダウンロードできて。 https://accessdata.com/p…