Digital Forensics Reference Material Group デジタルフォレンジック参考資料 ■Windows系コンピュータにおける画像の調査項目例 削除済み 画像ファイル 既存画像ファイル 電子メール 画像ファイルの復元 ・削除ファイル内に画像が含まれていないかの調査(キーワード検索) ・Volume Shadow Copy内の削除された画像ファイル調査 ・未使用領域から画像ファイルパターンを利用したファイル復元 ・Pagefile.sysから画像ファイルパターンを利用したファイル復元 ・ハイバネーションファイルから画像ファイルパターンを利用したファイル復元 画像ファイルの確認 ・シグネチャ分析の実行 ・拡張子/ファイルタイプによるフィルタ ・Volume Shadow Copy 内の画像ファイル調査 ・PDF画像ファイル(スキャン文書)の検出 ・ハッシュ値による画像ファイル検索 ・近似ファイルの検出 複合ファイルの確認 ・サムネイルファイル(Thumbs.db)内画像ファイルの調査 ・圧縮ファイル内画像ファイルの調査 ・圧縮ファイル内に保存されているファイル名文字列に対する、拡張子文字列(.JPG)パターンの検索 ファイル内画像ファイルの確認 ・ファイル内画像データのパターン検索(文書ファイル等でファイル内で圧縮処理がされてないもの) ・PDF内画像ファイルの確認 隠蔽・保護ファイルの確認 ・保護ファイル(パスワード保護等)が設定されているファイルの検出 ・暗号化コンテナ(ボリューム)の利用痕跡の調査 ・ステガノグラフィツールなどデータ隠蔽ツールの利用痕跡調査(UserAssist) 携帯デバイスの調査 ・PC上のバックアップファイル内の画像調査 ・画像ファイルの添付ファイル検出と抽出 ・圧縮ファイル内の画像ファイルの添付ファイル検出と抽出 電子メール添付ファイルの調査 ・Volume Shadow Copy内メールボックス(添付ファイル)の調査 ・未使用領域における削除メール痕跡の調査(添付ファイル名) ショートカットファイルの調査 ・LNKファイル内における画像ファイル参照の痕跡調査 ・未使用領域におけるLNKファイル内の痕跡調査(ObjectID) ・Volume Shadow Copy内のLNKファイル調査 ファイル名痕跡の調査 ・LNKファイルにおける画像を示すファイル名文字列痕跡の検索 ・未使用領域における画像を示すファイル名文字列痕跡の検索 ・レジストリファイルにおけるファイル名文字列痕跡の調査 ・ゴミ箱フォルダのファイル名文字列の痕跡調査(INFO2) ・Volume Shadow Copy内のゴミ箱フォルダ調査 ・ファイル名変更痕跡の調査($FILE_NAME属性) ・Windows Search インデックスにおけるファイル名痕跡の確認 ・データ送信可能なアプリケーションの履歴調査(Skype・P2P等) 画像ファイル名の 痕跡 1 ■Windows系コンピュータにおけるデータ取扱いの調査項目例 外付デバイス USBデバイスの接続利用の調査 ・レジストリ(USBSTOR)の痕跡調査 ・Volume Shadow Copy内レジストリ(USBSTOR)の痕跡調査 ショートカットファイルの調査 ・ユーザのホームディレクトリのRecentフォルダの調査 ・LNKファイル内における外付けデバイス参照の痕跡調査 ・未使用領域におけるLNKファイル内の痕跡調査(ObjectID) ・Volume Shadow Copy内のLNKファイル調査 ファイル名痕跡の調査 ・外付けデバイス上を示す対象ファイル名文字列痕跡の検索 ・レジストリ(MRU)のファイル名痕跡の調査 携帯デバイスの調査 ・PC上のバックアップファイルの調査 電子メールデータの調査 ・削除メールの復元 ・Volume Shadow Copy内メールボックスの調査 ・VSS内メールボックスと現メールボックスの差異調査 ・未使用領域における削除メール痕跡の調査(添付ファイル名) ・電子メールに対するキーワード検索 ・PST,DBXボックス 未使用領域に対するキーワード検索 電子メール添付ファイルの調査 ・保護された添付ファイルの検出と抽出 ・圧縮ファイルを含む添付ファイルに対するキーワード検索 ・添付ファイルの抽出とファイルシグネチャ分析 ・ファイルタイプの識別と分類(画像等の選別) 電子メール メモリイメージ内の電子メール痕 ・メモリイメージ内の電子メールプロセス空間の抽出 ・ブラウザプロセスデータ内における文字列検索(ファイル名痕跡) 跡調査 Webメールの調査 ・Web 履歴を利用したWebメール利用痕跡の確認(URL文字列の確認) ・レジストリ(TypedURLs)を利用したWebメール利用痕跡の確認(URL文字列の確認) ・アイコン画像を利用したWebメール利用痕跡の確認 ・Windows Search インデックスにおけるWebメール利用痕跡の確認 ・Volume Shadow Copy内Web 履歴の調査 ・未利用領域におけるWeb履歴の復元と調査 ・未使用領域におけるWebメール痕跡の調査(文字列痕跡) ・ブラウザセッションリカバリファイルの調査 Webメール添付ファイルの調査 ・Web 履歴ファイルに対する添付ファイル文字列痕跡の検索 Webメール メモリイメージ内のWebメール痕 ・メモリイメージ内のブラウザプロセス空間の抽出 ・ブラウザプロセスデータ内における文字列検索(ファイル名痕跡) 跡調査 削除ファイルの復元 ・削除ファイル内に機密情報が含まれていないかの調査(キーワード検索) ・削除ファイルに保護されたファイルが無いか確認 ・ゴミ箱フォルダの痕跡確認(INFO2) 未使用領域のキーワード検索 ・未使用領域内に対するキーワード検索(文字列・ファイル名痕跡の確認) ・アプリケーションログに対する、ファイル名などのキーワード検索 外部へのデータ送信痕跡の確認 ・データ送信可能なアプリケーションの実行痕跡確認 ・データ送信可能なアプリケーションの履歴調査(Skype等) 印刷痕跡の確認 文書ファイル 2 スワップファイル等から印刷ジョブ実行時のシャドウファイル/スプールファイルを検出 メモリイメージ内の文書ファイル痕 ・メモリイメージ内のファイル取り扱い情報(オープンファイル)の調査 跡調査 ・メモリイメージ内における文字列検索(ファイル名・データ痕跡) 機密情報ファイルの確認 ・圧縮ファイル内のファイルを含む既存ファイルに対するキーワード検索 ・ハッシュ値によるファイル検索 ・Volume Shadow Copy 内のファイル調査 ・近似ファイルの検出 ・PDF画像ファイル(スキャン文書)の検出 隠蔽・保護ファイルの確認 ・OSインストール日時の確認(再インストール有無) ・保護ファイル(パスワード保護等)が設定されているファイルの検出 ・ファイル名変更痕跡の調査($FILE_NAME属性) ・隠し属性のファイル、拡張子が変更されたファイルを検出 ・暗号化コンテナ(ボリューム)の利用痕跡の調査 ・ステガノグラフィツールなどデータ隠蔽ツールの利用痕跡調査(UserAssist) ■Windows系サーバシステムにおける侵害発生時の調査項目例 ・削除ファイルの復元 ウイルススキャンの実施(削除ファ ・Volume Shadow Copy 内からの削除ファイルの復元 ・メモリイメージ内の実行ファイルを抽出 イル含む) ・オフラインでのウイルススキャンを実行 ウイルス駆除痕跡の確認 ・悪意のあるソフトウェアの削除ツールのログ確認 ・ウイルス対策ソフトのログ確認 ・Windows FireWall などの通信ログの確認 不審なファイルの検出 ・ハッシュ値の計算 ・既知ファイルの除外(ハッシュライブラリ) ・不審なファイルの特定 ・不審なファイルのタイムライン調査 不審なプログラム実行の検出 ・プログラムの実行痕跡の調査(UserAssist) ・プログラムの実行痕跡の調査(プリフェッチファイル) ・メモリイメージ、クラッシュダンプ内の実行痕跡の調査 ・設定ファイルやレジストリから自動起動するプログラムを調査 マルウェア・ バックドアの検出 ・イベントログにてログオン失敗・成功の監査レコードを調査 システムログでログイン情報など ・アプリケーションのログでエラーとなっているレコードを調査 を調査 ・クラッシュダンプファイルでSTOPエラーの原因を調査 バックドア・マルウェアが仕込まれ ・復元された削除ファイルを含む、不審ファイルのタイムスタンプから時系列に侵害された痕跡を調査 ・不審なログオンのタイムスタンプから、時系列に実行ファイルなどの痕跡を調査 不正アクセス発生 た時期の調査 時期の特定作業 不審なファイルの時系列調査 ・不審ファイルのタイムスタンプなどから、関連しているアプリケーションの特定 ・ファイルの変化について時系列に調査 ・メモリイメージ、クラッシュダンプ内のプロセス情報から不審なプログラムの開始時間、終了時間を抽出 ・Volume Shadow Copy 内の不審ファイルの時系列調査 不正アクセス被害 攻撃に利用された脆弱性・設定 ・原因と推測される項目の洗い出し ・原因の根拠となるデータ痕跡の調査(イベントログの確認等) 発生原因の特定 不備の確認 タイムラインによる被害範囲の調 ・侵害発生タイミング以降での時系列でのファイル変化 査 ・侵害発生タイミング以降での、隠蔽工作の確認(実行痕跡) 他システムへのアクセス有無 ・内部ネットワークホスト名痕跡のキーワード検索 ・内部ネットワークIPアドレス痕跡のキーワード検索 ・内部ネットワークへの接続痕跡の調査(アプリケーションログ等) ・内部ネットワークへの接続痕跡の調査(レジストリ) ・内部ネットワークへの接続痕跡の調査(メモリイメージ) 削除ファイルの復元 ・削除ファイル内に機密情報が含まれていないかの調査(キーワード検索) ・削除ファイルに保護されたファイルが無いか確認 未使用領域のキーワード検索 ・未使用領域内に対するキーワード検索(文字列・ファイル名痕跡の確認) ・未使用領域からのファイル復元(パターンによる復元) 被害範囲の確認 情報漏洩の確認 ・アプリケーションログに対する、ファイル名などのキーワード検索 ・データ送信可能なアプリケーションの実行痕跡確認 外部へのデータ送信痕跡の確認 ・データ送信可能なアプリケーションの履歴調査(Skype等) ・Web 履歴を利用したデータ送信痕跡の確認(URL文字列の確認) ・メモリイメージから過去の通信履歴を復元 機密情報ファイルの確認 ・既存ファイルに対するキーワード検索 ・ハッシュ値によるファイル検索 ・Volume Shadow Copy 内のファイル調査 ・近似ファイルの検出 ・PDF画像ファイル(スキャン文書)の検出 3 ■Windows系コンピュータにおけるタイムスタンプの調査項目例 NTFS $SIA属性値 作成日時、更新日時、アクセス日時、エントリ更新日時 NTFS $FILENAME属性値 作成日時、更新日時、アクセス日時、エントリ更新日時 タイムスタンプ痕跡 64bit タイムスタンプ痕跡の検索(未利用領域、Pagefile.sys、メモリイメージ) NTFS ディレクトリエントリ NTFS トランザクションログ FATディレクトリエントリ 作成日時、更新日時、アクセス日時、ボリュームラベル設定日時、フォーマット日時 exFATディレクトリエントリ ファイル タイムスタンプ LNKファイル内のターゲットファイ 作成日時、アクセス日時、更新日時 ルタイムスタンプ(CAW) NTFS ObjectID Windows XPではオブジェクトID付与時点の日時情報 IE Index.datファイル内でファイル を参照している日時 ゴミ箱フォルダ内のインデックス情 ゴミ箱への削除(移動)日時 報(INFO2) NTFS $MFTファイルのタイムスタ ファイルシステムのフォーマット日時 ンプ Restore Point, VSS 以前のバージョンのファイルのMAC time ZIP アーカイブ内の タイムスタンプ RAR LZH CAB ISO Office文書ファイルメタ情報 ファイル内蔵 タイムスタンプ 更新日時 PDF文書ファイルのメタ情報(作 成日時・更新日時) HTML文書ファイルのメタ情報 クッキーファイルのメタ情報 画像ファイル メールファイル Windows OSログ 画像ファイルのメタ情報(撮影日 JPEGファイル内のEXIF情報 時等) サムネイルファイル(Thumb.db) 内の更新日時 メールヘッダ 受信日時、送信日時、タイムゾーン イベントログ 主にシステム周りのイベント発生日時 setupapi.log インストール日時、USBデバイス接続日時 ファイアウォールログ パケットの許可、拒否等の発生日時 プリフェッチファイル内の実行日時 プロセス レジストリ メモリイメージ内の実行日時 実行開始日時、実行終了日時 イベントログ内の監査ログ プロセス追跡の監査レコードによるプログラム実行日時 NTUSER.DATファイル内の UserAssistキー シェルからの最終実行日時と実行回数 レジストリキー 更新日時 64bitタイムスタンプ痕跡の検索(未利用領域、Pagefile.sys、メモリイメージ) レジストリ値内のタイムスタンプ (値として日時情報を保存) SAM ファイル内のログオン・ログオフ日時 OSインストール日時(HKLM¥software¥Microsoft¥Windows NT¥CurrentVersion¥InstallDate) OSシャットダウン日時(HKLM¥CurrentControlSet¥Control¥Windows¥ShutdownTime) USB接続日時(HKLM¥・・・) NTUSER.DATの更新日時 ユーザーのログオフ日時に近い値が保存 タイムゾーン設定 HKLM¥CurrentControlSet¥Control¥TimeZoneInformation アクセス日時更新の無効化設定 HKLM¥CurrentControlSet¥Control¥FileSystem¥NtfsDisableLastAccessUpdate HKEY_LOCAL_MACHINE¥SYSTEM¥CurrentControlSet¥Control¥FileSystem¥Maximu ファイル システム トンネリング機 mTunnelEntryAgeInSeconds (秒数設定) HKEY_LOCAL_MACHINE¥SYSTEM¥CurrentControlSet¥Control¥FileSystem¥Maximu 能の設定状況 mTunnelEntries (有効無効設定) 4 ■Windows系コンピュータにおけるUSBデバイスの調査項目例 USBdeviewツールによる調査 ・既存 SYSTEM レジストリファイルの確認 ・RP又はVolume Shadow Copy内のSYSTEMレジストリファイル確認 SANS手法によるレジストリキー調 http://blogs.sans.org/computer-forensics/files/2009/09/USB_Drive_Enclosure査 Guide.pdf レジストリ上の 痕跡調査 ・最終更新日時を利用したタイムラインの調査 USBキー ・削除されたレジストリキーの復元 HKLM¥SYSTEM¥CurrentCont ・RP又はVolume Shadow Copy内のレジストリファイル調査 rolSet¥Enum¥USB ・メモリイメージからのレジストリ復元 ・最終更新日時を利用したタイムラインの調査 USBSTORキー ・削除されたレジストリキーの復元 ・接続機器 ・接続開始日時 HKLM¥SYSTEM¥CurrentCont ・RP又はVolume Shadow Copy内のレジストリファイル調査 ・メモリイメージからのレジストリ復元 rolSet¥Enum¥USBSTOR ・最終接続日時 ・U3デバイスの確認 ・マウントデバイス名 MRUキー ・論理ドライブ名が外付けデバイスを示すファイル名痕跡の確認 ・RP又はVolume Shadow Copy内のレジストリファイル調査 プログラム実行痕跡 (UserAssist) ・外付けデバイスから実行されたことを示すプログラムの確認 ・暗号化解除用プログラムの実行痕跡 ・RP又はVolume Shadow Copy内のレジストリファイル調査(UserAssist) レジストリ文字列痕跡の調査 ・未利用領域、Pagefile.sysに対する“nk”“vk”文字列痕跡検索 ・“nk”“vk”文字列痕跡からUSB関連レジストリキーと値の確認 ログ上の痕跡調査 USBデバイス構成情報 ファイルの参照 ・デバイスのセットアップログファイルの確認(setupapi.dev.log) ・Volume Shadow Copy内のセットアップログファイル調査 ・未使用領域に対するセットアップログの痕跡文字列の検索 ・デバイスの暗号化解除アプリケーションのインストールログの調査 ショートカットファイルの調査 ・LNKファイル内における外付けデバイス上のファイル参照調査 ・未使用領域におけるLNKファイル内の痕跡調査(ObjectID) ・Volume Shadow Copy内のLNKファイル調査 ファイル名痕跡の調査 ・外付けデバイス上を示すファイル名文字列痕跡の検索 ・FATディレクトリエントリ痕跡の検索(メモリイメージ・Pagefile.sys等) ・Index.dat ファイルで、外付けデバイスを示すファイル名痕跡の確認 プリフェッチファイルの調査 ・デバイスの暗号化解除アプリケーションの実行痕跡 ・未使用領域に対する暗号化解除アプリケーションの実行痕跡の検索 ・Volume Shadow Copy内のプリフェッチファイル調査 USBシリアル番号の調査 ・USBデバイスのシリアル番号特定(UVCView) USB書き込み禁止設定の確認 ・レジストリキー(HKLM¥SYSTEM¥CurrentControlSet¥Control¥StorageDevicePolicies) のWriteProtect値を確認 ・レジストリキー (HKCU¥Software¥Microsoft¥Windows¥CurrentVersion¥Policies¥Explorer USB自動実行(AutoRun)禁止設 )のNoDriveTypeAutoRun値を確認(http://technet.microsoft.com/ja-jp/library/ cc959381(en-us).aspx) 定の確認 ・レジストリキー(HKLM¥SOFTWARE¥Microsoft¥Windows NT¥CurrentVersion¥IniFileMapping¥Autorun.inf)が存在するかを確認 その他 USB 大容量記憶装置ドライバの ・レジストリキー(HKLM¥SYSTEM¥CurrentControlSet¥Services¥USBSTOR)の値でStart値 設定確認(USBデバイスの無効 を参照し、自動実行になっているか確認 化) 特定デバイスの利用禁止設定の ・レジストリキー(HKLM¥SYSTEM¥CurrentControlSet¥Enum¥USBSTOR¥)の値で、 確認 ConfigFlag、CSConfigFlag値を参照し、最下位ビットが1となっているかを確認 ・XPの場合には: %SystemRoot%¥Inf¥usbstor.inf/.pnf のACLを確認 ・Vistaは個別に二つのレジストリキーを確認 特定USBデバイスの使用許可の (HKLM¥SOFTWARE¥Policies¥Microsoft¥Windows¥DeviceInstall¥Restrictions¥Deny DeviceIDs値=1 と 確認 HKLM¥SOFTWARE¥Policies¥Microsoft¥Windows¥DeviceInstall¥Restrictions¥DenyD eviceIDs値="USB¥Class_08") 5 ■Windows系コンピュータにおけるマルウェア感染時の調査項目例 ・削除ファイルの復元 ウイルススキャンの実施(削除ファ ・Volume Shadow Copy 内からの削除ファイルの復元 ・メモリイメージ内の実行ファイルを抽出 イル含む) ・オフラインでのウイルススキャンを実行 マルウェア・ バックドアの検出 ウイルス駆除痕跡の確認 ・悪意のあるソフトウェアの削除ツールのログ確認 ・ウイルス対策ソフトのログ確認 ・Windows FireWall などの通信ログの確認 電子メール添付ファイルの確認 ・添付ファイル抽出(削除メール含む) ・添付ファイルに対するウイルススキャンの実施 ・電子メールが利用するテンポラリフォルダ配下のファイル名痕跡確認(ディレクトリエントリ) 不審なファイルの検出 ・ハッシュ値の計算 ・既知ファイルの除外(ハッシュライブラリ) ・不審な実行ファイル(EXE, DLL, SYS…)の特定 ・不審なファイルのタイムライン調査 ・不審なプロセスの検出 プログラム実行痕跡の調査(イベ ・プロセス追跡の監査レコードの確認 ントログ) ・Windows File Protection(WFP)のエラーレコードの確認 プログラム実行痕跡の調査 (UserAssist) 実行痕跡の検出 ・レジストリの調査(NTUSER.DAT の UserAssistキー) ・Volume Shadow Copy 内 NTUSER.DAT ファイルの調査 ・ROT-13 文字列パターンの検索(未使用領域) ・ROT-13 文字列パターンの検索(メモリイメージ・Pagefile.sys・ハイバーネーションファイル) ・プリフェッチファイル内のプログラム実行痕跡 プログラム実行痕跡の調査(プリ ・削除されたプリフェッチファイル内のプログラム実行痕跡 ・プリフェッチファイル内のファイル名文字列痕跡の検索(未使用領域・メモリイメージ・ フェッチファイル) Pagefile.sys・ハイバーネーションファイル) ・実行中プロセス情報の確認(実行ファイルのパス) プログラム実行痕跡の調査(メモ ・終了プロセス情報の確認(実行ファイルのパス) ・派生元プロセス情報の確認(実行ファイルのパス) リイメージ) ・オープンファイル/レジストリキーの確認(不審なファイル、レジストリキーのオープン) ・自動実行キー内に登録されているファイルの確認 プログラム実行痕跡の調査(レジ ・自動実行キーの最終更新日時の確認 ・削除されたレジストリキーの復元とプログラム痕跡の確認 ストリ) ・レジストリキー内のバイナリデータ抽出とウイルススキャン ファイル隠蔽痕跡 ファイル隠蔽痕跡の調査 の調査 ・MFTファイル内でのファイル名痕跡の検索($FILE_NAME) ・起動中状態とオフライン状態でのファイル差異(Rootkitによる隠蔽) 不審なファイルの 不審なファイルの時系列調査 時系列調査 ・不審ファイルのタイムスタンプなどから、関連しているファイルの特定(ナノ秒単位) ・ファイルの変化について時系列に調査 ・メモリイメージ、クラッシュダンプ内のプロセス情報から不審なプログラムの開始時間、終了 時間 を抽出 ・Volume Shadow Copy 内の不審ファイルの時系列調査 感染痕跡の調査 感染痕跡の調査 ・ウイルス感染による特徴的な文字列のキーワード検索 ・ウイルス感染により作成される特徴的なファイルの検出 ・ウイルス感染により作成される特徴的なファイル名のキーワード検索 ウィルスの解析 動的解析 通信先、オープンファイル・レジストリ、感染活動の情報収集 静的解析 ・メモリイメージ内のプロセス実行コードを解析 ・unpack後の実行ファイルをdisassemblerで解析 株式会社 Ji2 | 〒160-0022 東京都新宿区新宿 2-4-3 フォーシーズンズビル 10F phone: 03-6369-8015 | fax: 03-6369-8016 | email: [email protected] | web: http://www.ji2.co.jp 6 ForensicsReference - Doc#: 14070801
© Copyright 2024 Paperzz