0
コンピュータフォレンジックに
ちょっとだけ触れてみる
OpenIL vol.2
松本聡
自己紹介
名前
松本聡(rarere)
仕事
インフラ方面
とある勉強会
せきゅぽろナイトセミナー♯10
インシデントレスポンスにおけるフォレンジック
実際にやってみました。
一部拡大
そのときのおやつ
きのとや
チーズタルト
きのとや
チーズタルト
通販も可
http://www.kinotoya.com/shop/
目次
● コンピュータフォレンジック?
● どうやってやる?
● やってみる
コンピュータフォレンジック?
コンピュータフォレンジック?
● パソコンとかの機器のログやら状態やらを詳細
に調査して、何が起こったかを立証する証拠集
め(法的な意味で)
コンピュータフォレンジック?
● パソコンとかの機器のログやら状態やらを詳細
に調査して、何が起こったかを立証する証拠集
め(法的な意味で)
● フォレンジックには鑑識という意味もある
コンピュータフォレンジック?
● パソコンとかの機器のログやら状態やらを詳細
に調査して、何が起こったかを立証する証拠集
め(法的な意味で)
● フォレンジックには鑑識という意味もある
● 意訳すると、デジタル鑑識
コンピュータフォレンジック?
● パソコンとかの機器のログやら状態やらを詳細
に調査して、何が起こったかを立証する証拠集
め(法的な意味で)
● フォレンジックには鑑識という意味もある
● 意訳すると、デジタル鑑識
● というのがIT用語辞典と...
コンピュータフォレンジック?
すごくざっくりとした説明なので、ネットエージェント
さんのサイトとかwikipediaとかいろいろ見てくださ
い。
フォレンジックでぐぐると
デジタルフォレンジックが
上にでてくる
デジタルフォレンジック?
コンピュータフォレンジック?
パソコンのフォレンジックするの
がコンピュータフォレンジック
(デジタルフォレンジックとも)
ネットワークフォレンジック
というのもある(パケット見たり)
文献によってさまざまなようなの
で、今回は同じ意味ということに
しておいてください。
具体的に何を見る?
● いろんな設定
○ たとえばネットワークの設定やらグループポリシーやら。
● HDDに記録されてるログ
○ イベントログ、レジストリ、プリフェッチとか
● メモリのダンプ
とりあえず今回はこの辺を見る。
どうやってやる?
OSSとかで、それができるものがある。
フォレンジックに使える道具たち
● Sysinternals Suite
● The Coroner’s Toolkit
● Sleuth Kit & Autopsy
● userassist
● winprefetchview
● volat...
フォレンジックに使える道具たち
● Sysinternals Suite
● The Coroner’s Toolkit
● Sleuth Kit & Autopsy
● userassist
● winprefetchview
● volat...
フォレンジックに使える道具たち
● Sysinternals Suite
● The Coroner’s Toolkit
● Sleuth Kit & Autopsy
● userassist
● winprefetchview
● volat...
UserAssist
UserAssist
● レジストリに記録されてるもの
● 使ったアプリケーションの履歴が記録されてる
○ パス、実行回数、時間…
● HKEY_CURRENT_USERSoftwareMicrosof
tWindowsCurrentVersi...
UserAssist
レジストリエディタで確認
UserAssist
一部拡大。
よくわからない文字列
日本語はそのまま
ROT13という
暗号化処理された
文字列
ROT13
ROT13 または ROT-13、rot13 は単換字式暗号
(シーザー暗号)の一つである。アルファベットを一
文字毎に13文字後のアルファベットに置き換える。
Aは Nに、 B は O に置き換えられ、以下同様であ
る。英語の "...
ROT13
http://ja.wikipedia.org/wiki/ROT13
UserAssist
こんな感じの
バイナリ値で
保存されてる
UserAssist
赤:実行回数
青:時間
UserAssist
わからん
UserAssist
見てくれるツールあるよ!
UserAssist
デモ
プリフェッチ
プリフェッチ
● Windows(XP以降)には、プリフェッチというアプ
リケーション起動速度向上のための仕組みがあ
る
● 「%SystemRoot%Prefetch」というプリフェッチ
フォルダに、「.pf」という拡張子のファイルがあ
る。
プリフェッチ
http://windows.microsoft.com/ja-jp/windows-vista/what-is-the-prefetch-folder
プリフェッチ
● 実行ファイル
● ファイルパス
● 実行時間
● 実行回数
● 関係しているファイル
などがわかる
プリフェッチ
フォルダを閲覧
プリフェッチ
プリフェッチ
バイナリのどの部分が何で…というのは聞いたけ
ど覚えてない。
やっぱりわからん
プリフェッチ
winprefetchview
デモ
メモリの解析
メモリの解析
メモリのダンプとって解析する
● OS情報
● プロセスのリスト
● それらが使ってたDLL一覧
● コネクション情報
● 開いてたファイル
など、いろいろわかる。
メモリの解析
● メモリのダンプ
○ ftkimager
● ダンプしたメモリの解析
○ volatility
メモリのダンプできるのは他にもあるけどとりあえ
ず今回はこれで。
ftkimager
FTK Imager Lite version 3.1.1でOK
メモリのダンプはちょっと時間がかかります
volatility
pythonのスクリプト
Windows用のバイナリもある
volatility
インストールはここ見て頑張る
https://code.google.
com/p/volatility/wiki/FullInstallation#Installation_
Prerequisites
結構面倒
pyt...
自分のPCで解析しようと思ったけど…
Windows7までしか対応してなかった。(手元のPC
はWindows8.1)
>Support for Windows 8, 8.1, Server 2012,
2012 R2, and OSX 10....
サイトにあるメモリのサンプルでやる
マルウェアが動いてる状態の分とか、
何もない自分のPC見るより面白そう
メモリ解析
デモ
e
コンピュータフォレンジックにちょっとだけ触れてみる
Upcoming SlideShare
Loading in...5
×

コンピュータフォレンジックにちょっとだけ触れてみる

3,224

Published on

2014年6月20日に開催された勉強会 OpenIL Vol2内で使用されたスライド資料。

Published in: Technology
0 Comments
3 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
3,224
On Slideshare
0
From Embeds
0
Number of Embeds
8
Actions
Shares
0
Downloads
26
Comments
0
Likes
3
Embeds 0
No embeds

No notes for slide

Transcript of "コンピュータフォレンジックにちょっとだけ触れてみる"

  1. 1. コンピュータフォレンジックに ちょっとだけ触れてみる OpenIL vol.2 松本聡
  2. 2. 自己紹介 名前 松本聡(rarere) 仕事 インフラ方面
  3. 3. とある勉強会
  4. 4. せきゅぽろナイトセミナー♯10 インシデントレスポンスにおけるフォレンジック
  5. 5. 実際にやってみました。 一部拡大
  6. 6. そのときのおやつ
  7. 7. きのとや チーズタルト
  8. 8. きのとや チーズタルト 通販も可 http://www.kinotoya.com/shop/
  9. 9. 目次 ● コンピュータフォレンジック? ● どうやってやる? ● やってみる
  10. 10. コンピュータフォレンジック?
  11. 11. コンピュータフォレンジック? ● パソコンとかの機器のログやら状態やらを詳細 に調査して、何が起こったかを立証する証拠集 め(法的な意味で)
  12. 12. コンピュータフォレンジック? ● パソコンとかの機器のログやら状態やらを詳細 に調査して、何が起こったかを立証する証拠集 め(法的な意味で) ● フォレンジックには鑑識という意味もある
  13. 13. コンピュータフォレンジック? ● パソコンとかの機器のログやら状態やらを詳細 に調査して、何が起こったかを立証する証拠集 め(法的な意味で) ● フォレンジックには鑑識という意味もある ● 意訳すると、デジタル鑑識
  14. 14. コンピュータフォレンジック? ● パソコンとかの機器のログやら状態やらを詳細 に調査して、何が起こったかを立証する証拠集 め(法的な意味で) ● フォレンジックには鑑識という意味もある ● 意訳すると、デジタル鑑識 ● というのがIT用語辞典とかwikipediaとかに書い てある。
  15. 15. コンピュータフォレンジック? すごくざっくりとした説明なので、ネットエージェント さんのサイトとかwikipediaとかいろいろ見てくださ い。
  16. 16. フォレンジックでぐぐると デジタルフォレンジックが 上にでてくる
  17. 17. デジタルフォレンジック? コンピュータフォレンジック?
  18. 18. パソコンのフォレンジックするの がコンピュータフォレンジック (デジタルフォレンジックとも) ネットワークフォレンジック というのもある(パケット見たり)
  19. 19. 文献によってさまざまなようなの で、今回は同じ意味ということに しておいてください。
  20. 20. 具体的に何を見る? ● いろんな設定 ○ たとえばネットワークの設定やらグループポリシーやら。 ● HDDに記録されてるログ ○ イベントログ、レジストリ、プリフェッチとか ● メモリのダンプ とりあえず今回はこの辺を見る。
  21. 21. どうやってやる? OSSとかで、それができるものがある。
  22. 22. フォレンジックに使える道具たち ● Sysinternals Suite ● The Coroner’s Toolkit ● Sleuth Kit & Autopsy ● userassist ● winprefetchview ● volatility ● dumpit ● ftkimager
  23. 23. フォレンジックに使える道具たち ● Sysinternals Suite ● The Coroner’s Toolkit ● Sleuth Kit & Autopsy ● userassist ● winprefetchview ● volatility ● dumpit ● ftkimager 赤字のものを触ってみます。
  24. 24. フォレンジックに使える道具たち ● Sysinternals Suite ● The Coroner’s Toolkit ● Sleuth Kit & Autopsy ● userassist ● winprefetchview ● volatility ● dumpit ● ftkimager 赤字のものを触ってみます。 UserAssist(レジストリ) プリフェッチ メモリの解析
  25. 25. UserAssist
  26. 26. UserAssist ● レジストリに記録されてるもの ● 使ったアプリケーションの履歴が記録されてる ○ パス、実行回数、時間… ● HKEY_CURRENT_USERSoftwareMicrosof tWindowsCurrentVersionExplorerUserAssi st
  27. 27. UserAssist レジストリエディタで確認
  28. 28. UserAssist 一部拡大。 よくわからない文字列 日本語はそのまま ROT13という 暗号化処理された 文字列
  29. 29. ROT13 ROT13 または ROT-13、rot13 は単換字式暗号 (シーザー暗号)の一つである。アルファベットを一 文字毎に13文字後のアルファベットに置き換える。 Aは Nに、 B は O に置き換えられ、以下同様であ る。英語の "Rotate by 13 places" の略(ry wikipedia http://ja.wikipedia.org/wiki/ROT13
  30. 30. ROT13 http://ja.wikipedia.org/wiki/ROT13
  31. 31. UserAssist こんな感じの バイナリ値で 保存されてる
  32. 32. UserAssist 赤:実行回数 青:時間
  33. 33. UserAssist わからん
  34. 34. UserAssist 見てくれるツールあるよ!
  35. 35. UserAssist デモ
  36. 36. プリフェッチ
  37. 37. プリフェッチ ● Windows(XP以降)には、プリフェッチというアプ リケーション起動速度向上のための仕組みがあ る ● 「%SystemRoot%Prefetch」というプリフェッチ フォルダに、「.pf」という拡張子のファイルがあ る。
  38. 38. プリフェッチ http://windows.microsoft.com/ja-jp/windows-vista/what-is-the-prefetch-folder
  39. 39. プリフェッチ ● 実行ファイル ● ファイルパス ● 実行時間 ● 実行回数 ● 関係しているファイル などがわかる
  40. 40. プリフェッチ フォルダを閲覧
  41. 41. プリフェッチ
  42. 42. プリフェッチ バイナリのどの部分が何で…というのは聞いたけ ど覚えてない。 やっぱりわからん
  43. 43. プリフェッチ
  44. 44. winprefetchview デモ
  45. 45. メモリの解析
  46. 46. メモリの解析 メモリのダンプとって解析する ● OS情報 ● プロセスのリスト ● それらが使ってたDLL一覧 ● コネクション情報 ● 開いてたファイル など、いろいろわかる。
  47. 47. メモリの解析 ● メモリのダンプ ○ ftkimager ● ダンプしたメモリの解析 ○ volatility メモリのダンプできるのは他にもあるけどとりあえ ず今回はこれで。
  48. 48. ftkimager FTK Imager Lite version 3.1.1でOK メモリのダンプはちょっと時間がかかります
  49. 49. volatility pythonのスクリプト Windows用のバイナリもある
  50. 50. volatility インストールはここ見て頑張る https://code.google. com/p/volatility/wiki/FullInstallation#Installation_ Prerequisites 結構面倒 pythonの3じゃ動かない 64bitのpyhton2.7だとだめかも? 多分準備するならLinuxのほうが楽。
  51. 51. 自分のPCで解析しようと思ったけど… Windows7までしか対応してなかった。(手元のPC はWindows8.1) >Support for Windows 8, 8.1, Server 2012, 2012 R2, and OSX 10.9 (Mavericks) is either already in svn or just around the corner, so stay tuned for our next release! https://code.google.com/p/volatility/
  52. 52. サイトにあるメモリのサンプルでやる マルウェアが動いてる状態の分とか、 何もない自分のPC見るより面白そう
  53. 53. メモリ解析 デモ
  54. 54. e
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×