国内のフォレンジック

Similar documents
SOC Report

メール誤送信対策<利用者編> ご利用の手引き

XML ( ) XML XML jedit XML XPath XSLT jedit JAVA VM jedit Slava Pestov GNU GPL ( ) jedit jedit ( jedit XML jed

製品紹介資料 No.M32039 TEST CD-R (MP3) For Checking MP3 Players for Russian SCD Rev.1 1. 使用目的 特徴このディスクは MP3プレーヤの動作確認に用いるテストディスクです ロシア語 ( キリル文字

文字コード略歴 よこやままさふみ社内勉強会 2012/05/18 文字コード略歴 Powered by Rabbit 2.0.6

今月の呼びかけ 添付資料 ファイル名に細工を施されたウイルスに注意! ~ 見た目でパソコン利用者をだます手口 ~ 2011 年 9 月 IPA に RLTrap というウイルスの大量の検出報告 ( 約 5 万件 ) が寄せられました このウイルスには パソコン利用者がファイルの見た目 ( 主に拡張子

Unicode (2)

Unicode (2)

レイアウトエンジンカタログ


Microsoft PowerPoint - char-1605temp.ppt [互換モード]

RT Fontカタログ

¥ƥ­¥¹¥ȥ¨¥ǥ£¥¿¤λȤ¤˽

iNFUSE インフューズ

johokiso-char.pdf.pdf

多言語ドメイン名の実装 mdnkit 石曽根信 ( 株 ) SRA 2001/12/04 日本語ドメイン名解説 / mdnkit 1 mdnkit 多言語ドメイン名を扱うためのツールキット 正規化 エンコード変換等を提供するライブラリとコマンド 既存アプリケーシ

文字コードに潜むセキュリティ

4 Mule(Emacs)

随筆 私本太平記

本当はこわいエンコーディングの話 とみたまさひろ 東京 Ruby 会議 本当はこわいエンコーディングの話 Powered by Rabbit 2.0.6

Microsoft Word - Omrono_yuserDic.doc

( )!?

ビューアページ画像の仕様

テキストの保存形式と外国語テキストの保存

情報処理演習 E PC による外国語処理 第 10 回資料 第 10 回 : Unicode での文字の取り扱い 本日のポイント : Unicode のもう少し詳しい紹介 Unicode の歴史と現状 Unicode で扱うことのできるさまざまな文字 Unicode の基本原則 Unicode 文字

Microsoft Word - CBSNet-It連携ガイドver8.2.doc

WebFOCUS検証

Microsoft Word - manual.doc

9601 F09F 9611 F0A F0B F0BD 9641 F0C F0A F0AA 9622 F0B F0BE 9642 F0C F0A F0AB 9623 F0B F0BF 9643 F0C9

目次 1. 変換の対象 砂防指定地 XML 作成メニュー シェープファイルからXMLへ変換 砂防指定地 XMLとシェープファイルの対応.csv 変換処理 CSVファイルによる属性指定... 5

計算機概論

( ) Shift JIS ( ) ASCII ASCII ( ) 8bit = 1 Byte JIS(Japan Industrial Standard) X 0201 (X ) 2 Byte JIS ISO-2022-JP, Shift JIS, EUC 1 Byte 2 By

SOC Report

Microsoft Word - No6_unicode2_06fl_www.doc

eYACHO 管理者ガイド

1.indd

Microsoft Word - CBESNet-It連携ガイドver8.1.doc

メール全文検索アプリケーション Sylph-Searcher のご紹介 SRA OSS, Inc. 日本支社技術部チーフエンジニア Sylpheed 開発者 山本博之 Copyright 2007 SRA OSS, Inc. Japan All right

製品を使う前に基本操作インターネットアプリケーション Q&A 付録 Web Internet Explorer の使い方 1 Web Web Windows Internet Explorer Web Internet Explorer Internet Explorer を ❶ 起動する Inte

Ontrack EasyRecovery 11 製品アクティベーション手順書

フォント埋め込みに関する調査報告 プラネットファーマソリューションズ株式会社 2019 年 05 月 31 日 Copyright 2019 Planet Pharma Solutions, Inc. All Rights Reserved.

iNFUSE インフューズ

PowerPoint プレゼンテーション

機能追加 2.1. ロール設定項目の追加 2.2. アカウント発行機能の追加 2.3. 修了証テンプレート管理機能を追加 2.4. バナー設定機能を追加 2.5. 修了証の置換文字列に修了証番号を追加 2.6. レスポンシブデザイン受講機能で修了証が出力できる機能を追加 2.7. レスポンシブデザイ

Outlook Express 6 の場合 (Windows XP) Outlook Express 6 の場合 (Windows XP) Windows XP に付属する Outlook Express 6 に αweb のメールアカウントを追加する方法についてご案内します 1 スタート をクリッ

メール設定

2. Windows Vista から共有フォルダのアクセスについて 対象製品 PNS25, PNB20S, PNS30 (F/W 3.x.x) Window Vista クライアントから 弊社 NAS 製品の共有フォルダにアクセスする際 Vista 側の設定を変更する必要がございます 対処方法は次

Microsoft Word - no103.docx

Microsoft Word - EDSマニュアル.doc

ProからPr5Pr6字形変更2013.indd

説明書

ohp.mgp

5-2. 顧客情報をエクスポートする 顧客管理へのアクセス手順 メールディーラーで管理する顧客情報に関する設定を行います 1. 画面右上の 管理設定 をクリックする 2. 管理設定 をクリックする 3. ( タブ ) 顧客管理 をクリックする 2

SQLインジェクション・ワームに関する現状と推奨する対策案

(2 Linux Mozilla [ ] [ ] [ ] [ ] URL 2 qkc, nkc ~/.cshrc (emacs 2 set path=($path /usr/meiji/pub/linux/bin tcsh b

◎phpapi.indd

ソフトウェア基礎 Ⅰ Report#2 提出日 : 2009 年 8 月 11 日 所属 : 工学部情報工学科 学籍番号 : K 氏名 : 當銘孔太

出力可能なバーコードの種類 出力可能なバーコードの種類各バーコードはそれぞれのバーコードの仕様に準拠します バーコードの種類 PDF417 MICROPDF417 対応バーコードの名称 PDF417 マイクロ PDF417 操作例 PDF417 商品コードの内容を PDF417 にする 作成された

チェッカー解説_ indd

Mindjet MindManager Version 9 for Windows サービスパック 2 リリースノート : 2011 年 4 月 20 日

u302.book

自己紹介 フリーライターとして OpenOffice.org 日本ユーザー会に参加 日本語環境改善拡張機能 を開発 IPAex フォント Takao フォント用拡張機能も開発 オープンガイドブック OpenOffice.org 3 ( 翔泳社刊 ) 執筆メンバー OpenOffice.org 日本ユ

目次 概要... 2 フォームレイアウトデザイナー機能の設定... 3 設定したフォームレイアウトデザイナーの確認...14 その他スタイルの設定...15 フォームレイアウトデザイナーをエクスポート...17 フォームレイアウトデザイナーをインポート...18 インポート時の制限事項...19 リ

CS+ コード生成ツール 統合開発環境 ユーザーズマニュアル 周辺機能操作編

GlobalFlow5 Ver.1.00R04 リリースノート

Cisco CSS HTTP キープアライブと ColdFusion サーバの連携

情報処理演習 E PC による外国語処理 第 7 回資料 2004 年 5 月 31 日 ( 月 ) 第 7 回 : 外国語で電子メール 1. 電子メールの仕組み 1.1. メールの送信とエンコード方式 インターネット上でやりとりされるメールの送信には,SMTP (Simple Mail Trans

Microsoft PowerPointの利用 V 1,1 暫定版

リスト 1 1 <HTML> <HEAD> 3 <META http-equiv="content-type" content="text/html; charset=euc-jp"> 4 <TITLE> 住所の検索 </TITLE> 5 </HEAD> 6 <BODY> <FORM method=

変換が必要なもの 1.Stata13( またはそれ以前 ) で保存した以下のもので 拡張 ASCII 文字 ( 日本語フォントなど ) が含まれるもの dta ファイル do ファイル ado ファイル smcl ファイル log ファイル ( gph ファイル stsem ファイル stpr ファ

index.dvi

2. システム構成 の運用環境によってインストールするソフトウェアが異なりますので 本項にあわせ次項の構成例もご確認いただき 必要なソフトウェアを選択してください 3 からの変更点は ESMPRO/AC による電源管理を行うために 4 以外に別途 ESMPRO/AC の制御端末となるサーバが必須にな

文字コードとその実装

FTP 共有を有効にする あらかじめ作成済みの共有フォルダーを FTP 共有可能にする設定を説明します 共有フォルダーの作成方法は 画面で見るマニュアル をご覧ください ファイル数の多い共有フォルダーを変更すると 変更が完了するまでに時間がかかる場合があります また 変更が完了するまで共有フォルダー

別紙 2 ICH 電子化コモン テクニカル ドキュメント (ectd) に含める 電子ファイル仕様の国内実装について v1.1.0

SMTP FP Mail MX /

HULFT-DataMagic for Windows Ver レベルアップ詳細情報 < 製品一覧 > 製品名 バージョン HULFT-DataMagic for Windows HULFT-DataMagic コード変換 オプション for Windows HU

1 ログインとログアウト 1.1 ログイン ログイン画面で [ password ] 欄にパスワードを入力します (図 1) 図 1 ログイン画面 正しくログインができると Ubuntu のデスクトップ画面 図2 が表示されます 図2 Ubuntu デスクトップ画面 2

情報通信の基礎

文字コード (2) 林部祐太 国立国会図書館関西館電子図書館課 2013/9/27 1

PDF Convertor for mac スタートアップガイド

WWW(World Wide Web) 世界中に張り巡らされた クモの巣 という意味 CERN( 欧州合同原子核共同研究機関 ) の研究者が開発した ハイパーテキスト形式 ( HTML ) の分散情報システム WWW サーバーのアドレスを指定するのに URL(Uniform Resource Loc

Networking Semester 802.3

東北大学全学教育科目 情報基礎 A

Drive-by-Download攻撃における通信の 定性的特徴とその遷移を捉えた検知方式

PYTHON 資料 電脳梁山泊烏賊塾 PYTHON 入門 文字列 文字列リテラル プログラムの中で文字列を表す方法は幾つか有るが 基本的な方法は下記の 2 種で有る 対象と成る文字の集まりをダブルクオーテーション ( " ) で囲うか シングルクオーテーション ( ' ) で囲う PYTHON3 "

日本語入力システムの概要 日本語入力システムはインプットメソッド (Input Metho d) のうち 特にパソコンやワープロ 携帯電話などに日本語を入力するためのものを指す 通常はキー入力をソフトウェアで制御して実現する パソコンにおいて 英文の入力は一般のキーボードでタイプライター同様にタイプ

マニュアル訂正連絡票

1. はじめに 1. はじめに 1-1. KaPPA-Average とは KaPPA-Average は KaPPA-View( でマイクロアレイデータを解析する際に便利なデータ変換ソフトウェアです 一般のマイクロアレイでは 一つのプロー

講習No.8

PHP 分科会 '12/01 OpenSource 協議会 System i 2012/01/26

プレポスト【解説】

C プログラミング 1( 再 ) 第 4 回 講義では C プログラミングの基本を学び 演習では やや実践的なプログラミングを通して学ぶ 1

Chromeleon 6 for Chromeleon 6.8 SR15 Build: --- 新しいシーケンスの作成に使用できるワークリストファイル (.wle) Doc. Nr: CM6_68150_0020 Doc. Ver.: Doc. Type: Guide

HULFT Series 製品における Javaの脆弱性(CVE )に対する報告

i

立ち読みページ

XAMPP で CMS のお手軽 テスト環境を手に入れよう 2011/5/21 上村崇 1

Microsoft IISのWebDAV認証回避の脆弱性に関する検証レポート

Who are you? Yosuke HASEGAWA NetAgent Co.,Ltd R&D dept. Microsoft MVP award for Windows Security Investigating about the security issues that a charac

Transcription:

国内のフォレンジック 2005 年 10 月 18 日 15:00-16:20 NetAgent Hideaki Ihara

講師紹介 伊原秀明 (ihara@netagent.co.jp) ネットエージェント株式会社取締役 Windowsに対する不正アクセスとその対策方法 不正アクセス調査 や コンピュータ フォレンジック などを専門に扱う Microsoft MVP (Windows Security) 日記 (http://d.hatena.ne.jp/hideakii/) 2

セッションの内容 デモ フォレンジック調査において 日本語文字列 を検索することは必須の作業となります しかし フォレンジック調査に使用されるツールの多くは海外の製品であり 必ずしも十分に日本語を扱えるわけではありません また 日本では文字コードを利用したアンチ フォレンジック手法についての研究も行われており 調査員にとって日本語と文字コードは避けて通ることができない大きな壁となっています 本セッションでは 現在一般的に使われている調査ツールで 調査対象として 日本語 を扱う際に注意しなければならない点や 今後の技術的課題について主なテーマとして扱います U+30B7 U+030B 3

日本語の調査方法 目視 検索 文字列抽出 インデックス化 4

NIHON 日本 入力変換保存 日本 Shift_JIS にほんニホンニホン 二本 EUC-JP UTF-8 UTF-16 ISO-2022 5

フォレンジック視点 Computer Network 日本 日本 Data + ブラウザプロセス + Web HTTP Data + MUA プロセス + Mail SMTP 日本 日本 swap 日本 File + Data File + Data PBH FireWall 6

CPCONV デモ 入力された文字列を Windows のコードページ毎に 16 進形式で表示 16 進数で文字列検索を行う際に活躍! CPCONV 0.8.1 https://www.port139.co.jp/forensics/cpconv/ Special thanks to umq. 7

文字列検索の障害 / 妨害 16 進形式のパターン検索は 文字列の途中にゴミが混ざると検索に失敗する 意図的に検索を妨害することも可能 例 ) 改行コードが存在 日 本 93 FA 0D 0A 96 7B 回避策 (EnCase の grep オプションを使用 ) 日 [ x0d x0a]* 本 8

文字列検索の障害 / 妨害 デモ Unicode 制御文字の影響 (1) 見えない文字 (2) 見た目が同じ (3) 方向 U+FEFF; ZERO WIDTH NO-BREAK SPACE U+200B; ZERO WIDTH SPACE U+200C; ZERO WIDTH NON-JOINER U+200D; ZERO WIDTH JOINER U+202E; RIGHT-TO-LEFT OVERRIDE U+202C; POP DIRECTIONAL FORMATTING 参照 URL: http://www.fileformat.info/info/unicode/ http://www.microsoft.com/windows2000/ja/professional/help/lang_unicode_control_characters.htm 9

文字列検索の障害 / 妨害 回避策 (EnCase の grep オプションを使用 ) 例 ) 日本の間に 0~4 文字 何かが挟まる日.{0,4} 本 問題点 ( 誤検知の増加 予想が困難 ) u+65e5 u+ffff u+ffffu+ffffu+ffff u+672c 参照 URL: http://d.hatena.ne.jp/hasegawayosuke/20041121#p3 http://d.hatena.ne.jp/hasegawayosuke/20050106#p1 10

キーワード登録 11

検索実行中 CPU:PentiumD 820 Memory:2GB HDD:SATA, 7200rpm 12

検索結果 デモ Searching Status: Completed Start: 09/27/05 08:40:31 午後 Stop: 09/28/05 06:30:57 午前 Time: 9:50:00 Files: 267,808 Search Hits: 843 Added Search Hits: 843 Shift_JIS:50 件 UTF-16LE:66 件 UTF-16BE:59 件 ISO-2022-JP:469 件 EUC-JP:199 件 単純な検索より時間がかかる! 13

文字列抽出 デモ Strings コマンドを利用して文字列を抽出例 )The Sleuth Kit のキーワード検索 未使用領域 (Unallocated Clusters) Slack スペース メモリダンプの調査 参照 URL: sstrings and Unicode Searching http://www.sleuthkit.org/informer/sleuthkit-informer-16.html File Name Searching In Autopsy http://www.sleuthkit.org/informer/sleuthkit-informer-15.html 14

文字列抽出の利点 検索では検出が困難なケースへも対応が可能となる 偽装への対応例 )HKDFの ini ファイル [H<<<idden T>>a/"ble] >h"xdef"* r c<md.ex<e:: Hidden を検索で発見するのは困難 15

istrings デモ 日本語および Unicode 対応の strings istrings で抽出した日本語文字列に対して 別のツールであいまい検索が可能に 例 ) 複数文字コードの抽出結果を UTF-16LE へ変換し結合 @echo off istrings -i EUC-JP -f -p -c $* wiconv -f 51932 -t 1200 >> log.txt istrings -i CP932 -f -p -c $* wiconv -f 932 -t 1200 >> log.txt istrings -i UTF-16LE -f -p -c $* >> log.txt Special thanks to HASEGAWA Yosuke. 16

インデックス化 デモ 文字列をインデックス化することで高速な検索が可能 先頭文字の入力によるジャンプ機能 対応製品 FTK, dtsearch, Paraben Text Searcher 米国では電子メールの調査によく利用? 17

独自ファイル形式への対応 アプリケーション独自の保存形式で記録されており そのまま検索 文字列抽出しても一致しないファイルフォーマットへの対応 形式変換してから検索 文字列抽出する例 ) 画像データに書かれた文字列 18

断片 ( パズル ) の調査 誤検知 にほん BIackHat 192.168.1.1 先入観勘違い 消失 19

今後の課題 調査用ツールの日本語対応 検索結果の絞込み ( あいまい検索 ) Unicode 正規化へ対応した検索 検索 インデックス作成時間の短縮 対ローテク アンチ フォレンジック手法 20

参考資料 文字コード超研究深沢千尋 ( 著 ), ラトルズ ; ISBN: 4899770510 Unicode 標準入門トニーグラハム ( 著 ), 翔泳社 ; ISBN: 4798100307 21

日本語対応可能な調査ツール EnCase http://www.encase.jp/ Forensic Toolkit(FTK) http://www.ubic.co.jp/ftk.htm The Sleuth Kit(+UTF-8 Patch) http://www.sleuthkit.org/ http://www.t-dori.net/ 22

istrings 関連 URL istrings, jstrings, wiconv http://openmya.hacker.jp/hasegawa/ istrings にみんなで色々くっつけよう http://openmya.hacker.jp/hiki/ セキュリティアカデミー勉強会 http://d.hatena.ne.jp/hasegawayosuke/20050710#1121007299 umq さんによるバグ報告 http://d.hatena.ne.jp/hasegawayosuke/20050714#1121330442 istrings 0.2 を近いうちに出します http://d.hatena.ne.jp/hasegawayosuke/20050715#1121408744 istrings 0.2 リリース http://d.hatena.ne.jp/hasegawayosuke/20050717#1121533101 フォレンジックにおける文字列抽出と検索 http://forensics.sakura.ne.jp/ppt/20050709-cakeoff-ihara.ppt りーふきっと発表会 http://d.hatena.ne.jp/hideakii/20050709 23

参考資料 :Windows におけるフォントセットとサポートされるコードページ http://www.microsoft.com/japan/office/ork/three/inte03.asp の表を引用 Office XP に付属のフォント フォント ( ファイル ) コードページサポートされる言語 Arial Unicode MS (Arialuni.ttf) すべて Batang (Batang.ttf) 250 1251 1252 1253 1254 1257 949 すべて ほとんどのヨーロッパ言語 韓国語 PmingLiu (PMingliu.ttf) 932, 936, 950 英語 簡体字中国語 繁体字中国語 日本 語 MS 明朝 (Msmincho.ttf) 1250 1251 1252 1253 1254 1257 932 ほとんどのヨーロッパ言語 日本語 SimSun (Simsun.ttf) 936 英語 簡体字中国語 繁体字中国語 Georgian and Armenian Font (Sylfaen.ttf) 1250 1251 1252 1253 1254 1257 Unicode Hindi Font (Mangal.ttf) (Unicode) ヒンディー語 Tamil Font (Latha.ttf) (Unicode) タミール語 ほとんどのヨーロッパ言語 グルジア語 アルメニア語 24

参考資料 :Windows 環境におけるコードページ http://msdn.microsoft.com/library/en-us/intl/unicode_81rn.asp より抜粋 Code-Page Identifiers Identifier Name 932 ANSI/OEM - Japanese, Shift-JIS 1200 Unicode UCS-2 Little-Endian (BMP of ISO 10646) 1201 Unicode UCS-2 Big-Endian 20932 JIS X 0208-1990 & 0121-1990 50220 ISO 2022 Japanese with no halfwidth Katakana 50221 ISO 2022 Japanese with halfwidth Katakana 50222 ISO 2022 Japanese JIS X 0201-1989 51932 EUC - Japanese 65000 Unicode UTF-7 65001 Unicode UTF-8 25

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック