Hi, I’m scoketo

TL;DR GREM(GIAC Reverse Engineering Malware) に96%のスコアで合格した。 GREMとは GIAC Reverse Engineering Malwareの略称で、SANS Instituteが提供するマルウェア解析の国際的な認定試験になる。 Paul Jerimy MediaのSecurity Certification Roadmapでは、Expertの部類に属していることになっている。 Security Certification Roadmap - Paul Jerimy Media 実施した勉強方法 オンラインでのトレーニングを5日間+1日CTF(Malware Analysis Tournament)を受講。最終日のCTFでは3位でCoinは獲得できず（2位までがCoin獲得だった） FOR610: Reverse Engineering Malware Training | Malware Tools & Techniques | SANS Institute 基本的には、他の受験記の方々と同じようにトレーニング後はひたすらテキストを読み込んで付箋でインデックスを作成しながら演習を繰り返し実施した。テキストはすべて英語で書かれていて読むのにとても時間がかかり、当初の予定では2週間くらいではすべて読み切れるだろうと思っていたが他業務など様々あり1ヶ月くらいかかってしまった。 一通りテキストの内容読み込みと演習を終えた状態で1度目の模擬試験を実施。1回目の模擬試験のスコアは79%で、合格ラインは一応超えていた(73%以上が合格ライン）が、あまりにも出来ていない分野があって少し心配気味だった。 1回目の模擬試験で点数が取れなかった分野をテキストで復習し、テキストだけでなく他のマルウェア解析に関する書籍(Practical Malware Analysis、初めてのマルウェア解析)を読んで知識を補完した後に2回目の模擬試験を実施した。2回目の模擬試験のスコアは86%で、1回目で点数が取れなかった苦手分野のスコアが伸びたので多分大丈夫だろうと思い本番試験を申し込んだ。 認定試験について 自分が実施した時(2023年10月)のGREMは以下のような概要で実施された。過去GREMを受けた方々の受験記を見ていると受験時期によって問題数や合格ラインが違うらしい。 試験時間 : 180分 問題数 : 66問 出題形式 : Computer Based Testing(CBT) 選択問題式 CyberLiveにおける実技問題あり 合格ライン : 73% その他 : オープンブック形式で紙の資料の持ち込み可 CyberLiveの実技試験は、以下のGIAC Certifications公式のYouTube動画にあるようにVMを起動させて設問に答える形式になる。 認定試験本番 オープンブック形式で紙の資料の持ち込みが可能なので、トレーニング時のテキストと英和辞典、自分用に作成したノートのまとめとSANS FOR610の講師であるLenny Zeltser氏のマルウェア解析に関するチートシートや、Ghidraのチートシートなど持ち込めるものはすべて持ち込んだ状態で本番に挑んだ。...

3ヶ月前くらいに、GitHub Pagesにブログを移行しようとして止まっていた手をようやく動かして、過去のブログにあった記事をすべてこっちに移行した。 旧ブログ : https://socketo.hatenablog.jp/

いつの頃からか、自分のはてなブログ #include <sys/socket.h>の冒頭に「この広告は、90日以上更新していないブログに表示しています。」と表示がされるようになった。 3年以上、個人の技術ブログを書いていないのは如何なものかと思い重い腰を上げた次第である。 Hugoのインストール Homebrewでhugoをインストールし、ブログを作成する。 $ brew install hugo $ hugo new site hugo_blog hubo_blogディレクトリが作成されたので、テーマの追加。今回はシンプルで良さそうなHugo PaperModを使用する。 $ git init . $ git submodule add https://github.com/adityatelange/hugo-PaperMod.git themes/PaperMod configにブログのbaseURLの修正やテーマの追加をする。 baseURL = 'https://socketo.github.io' title = 'socketo.github.io' languageCode = 'ja' theme = 'PaperMod' author = 'socketo' copyright = '© Copyright socketo - All rights reserved.' テーマの導入まで完了をしているので、実際に動かして確認をする。 $ hugo serve 起動し、 localhost:1313 にアクセスする。 記事の作成 この記事を作成する。 $ hugo new posts/hello-hugo.md 任意の記事の内容を書く。 記事のビルド $ hugo さいごに ブログを書いていきたい。

※ 移行前の元ブログ記事 : GCFA(GIAC Certified Forensic Analyst)合格した - #include <sys_socket.h> GIAC Certified Forensic Analystというのに合格した報告です。 以上です。

※ 移行前の元ブログ記事 : Magnet User Summit CTF 2019 WriteUp [Mobile] - #include <sys_socket.h> Magnet User Summit 2019 Magnet Forensicsというフォレンジック製品などをやっている企業のサミットが2019/04/02～2019/04/03に行われていました。 https://magnetusersummit.com/ Twitterで「#mus2019」で検索すると現地の様子がなんとなく分かりそう。発表スライドとかもあったりする。 https://twitter.com/search?q=%23mus2019 今回も、以前のDFIR CTFのようにMagnet User Summit CTF 2019として開催されていたものが、公開されていたのでやっていきの記事です。 AXIOMの使い方を学ぶ的な問題。 Hacking Exposed Computer Forensics Blog Daily Blog #657 MUS2019 DFIR CTF open to the public : https://www.hecfblog.com/2019/04/daily-blog-657-mus2019-dfir-ctf-open-to.html Magnet AXIOMという有償のフォレンジックツールが2019/05/04までのトライアルのキーがついて使用することができてすごい。 せっかくなので使ってみる感じで、頑張ってAXIOMだけでとりあえずやっていきます。 https://www.magnetforensics.com/products/magnet-axiom/ 「Mobile」カテゴリはモバイルフォレンジック的な感じの問題で、Android端末のデータを取得したケースが与えられてそれについて質問していくという感じです。 やっていきましょう。 AXIOMのインストール AXIOMは一応日本語対応はしていますが、設定する際に「日本語」ではなく、「English」にする方が良いです。 (CSVなどのファイルに出力する際、カラムが結構厳しい日本語とかになってしまうので) インストールしたら、ライセンスが聞かれるので、ファイル名「AXIOM 30-day Trial Key Install by May 4.txt」にキーが書いてあるのでそれをライセンスキー入力する。 Mobile ケースファイル「AXIOM - Mar 28 2019 114941 Mobile/Case....

※ 移行前の元ブログ記事 : BLE CTF WriteUp - #include <sys_socket.h> はじめに 昨年2018年のDEF CON 26 WIRELESS VILLAGEで発表された@hackgnar氏のBLE CTFをやってみるという話。 hackgnar - Learning Bluetooth Hackery with BLE CTF http://www.hackgnar.com/2018/06/learning-bluetooth-hackery-with-ble-ctf.html ble_ctf_ A Bluetooth low energy capture the flag : https://github.com/hackgnar/ble_ctf READMEに書かれているように、このCTFを実施するには、手元のコンピュータだけでなくESP32-DevkitとBluetoothドングルが必要になる。 私の今回の環境は以下 ESP32-DevkitC V4 エレコムのよく分からんBluetooth USBアダプタ ESP32ビルド環境 macOS Mojave version 10.14.3 端末(ThinkPad X220) Kali Linux 環境構築 ESP32-DevKitC V4を使う。aliexpressとかだと$7前後で購入出来る。安い。 国内だと秋月やマルツなどで売ってる。 ＥＳＰ３２－ＤｅｖＫｉｔＣ　ＥＳＰ－ＷＲＯＯＭ－３２開発ボード http://akizukidenshi.com/catalog/g/gM-11819/ Wi-Fi+BLE無線モジュールESP-WROOM-32搭載開発ボード【ESP32-DEVKITC】 https://www.marutsu.co.jp/pc/i/952928/ ESP32の環境構築 [ESP-IDF] ESP32のビルド環境を整える(macOS Mojave version 10.14.3) Arudino IDEでも開発環境として使えるようだが、今回はBLE CTFのREADMEにESP-IDFのBluetoothのサンプルプログラムと同様にと書いてあった為、EPS32の公式開発フレームワークであるESP-IDFを使用する。 Espressif IoT Development Framework : https://github....

※ 移行前の元ブログ記事 : SECCON 2018 Online CTF Forensics問題 Write-up - #include <sys_socket.h> はじめに SECCON2018のオンライン大会のForensics問題のWrite-up フォレンジック問題はやるかと腰を上げてやるだけやった UnzipとHistory Unzip 問題文 $ Unzip flag.zip. Write-up ファイル名:unzip.zip_26c0cb5b40e9f78641ae44229cda45529418183fのZIPファイルが落ちてくる． $ file unzip.zip_26c0cb5b40e9f78641ae44229cda45529418183f unzip.zip_26c0cb5b40e9f78641ae44229cda45529418183f: Zip archive data, at least v1.0 to extract 普通にzipファイルなのでunzipする $ unzip -d unzip unzip.zip_26c0cb5b40e9f78641ae44229cda45529418183f Archive: unzip.zip_26c0cb5b40e9f78641ae44229cda45529418183f extracting: unzip/flag.zip inflating: unzip/makefile.sh unzipするとflag.zipとmakefile.shが出てくる flag.zipは暗号化されたZIPファイル $ ls -la .rw-r--r--@ 225 socketo 27 10 0:10 flag.zip .rwx---r-x@ 99 socketo 27 10 0:10 makefile.sh makefile.shの中身を見ると，zipパスワードにperl -e "print time()"で出力されたunixtimeが設定されていることがわかる...

※ 移行前の元ブログ記事 : Defcon DFIR CTF 2018 # Image2 - FileServer WriteUp - #include <sys_socket.h> はじめに 以下の記事の続き． Defcon DFIR CTF 2018 # Image1 - HRServer WriteUp ディスクイメージの容量が大きくて削除したいので供養(すべて解けていないので誰か教えてください状態) File Server Basic HR Serverの問題を解いているといつの間にかNextという項目が増えて，Image2.7zのパスワードが開示されるので，Imag2(File Server)をやっていくことができる File Server - Basic 1(2) 問題文 What is the volume serial number of the only partition on the File Server Disk Image Volumeのシリアルナンバーを答える． FTK Imagerで開いているイメージファイルのFile System Informationを見る． FLAG:C096-2465 File Server - Basic 2(2) 問題文 What is the name of the examiner who made the Forensic Image?...

※ 移行前の元ブログ記事 : Defcon DFIR CTF 2018 # Image1 - HRServer WriteUp - #include <sys_socket.h> はじめに インターネットを眺めていたら，Magnet Forensicsが開催してaいたDFIRのCTF「Defcon DFIR CTF 2018」が公開されていたのでやった話（全部は解けていない） The #Defcon #DFIR #CTF is now open to the public. https://t.co/IdOE23dMzh #infosec— David Cowen (@HECFBlog) 2018年8月13日 Hacking Exposed Computer Forensics Blog Daily Blog #451 Defcon DFIR CTF 2018 Open to the Public : http://www.hecfblog.com/2018/08/daily-blog-451-defcon-dfir-ctf-2018.html Defcon DFIR CTF 2018 : https://defcon2018.ctfd.io/challenges 対象イメージファイル 実際に調査するイメージファイルは以下のブログのDropboxのリンクからImage1，Image2，Image3と3つダウンロードできる． http://www.hecfblog.com/2018/08/daily-blog-451-defcon-dfir-ctf-2018.html Image1.7zのパスワードは書いてあるので，それを使う． Image2.7z，Image3.7zのパスワードはCTFの問題を解いていくと分かる． やっていったら長くなったので，Image2とImage3については今後書く予定です． Image 1 : HRServer Image1....

※ 移行前の元ブログ記事 : Digital Forensic Challenge #2 - User Policy Violation Case Write up - #include <sys_socket.h> 本投稿の内容に間違いや問題などありましたら，Twitter経由などでやんわり優しめに教えて頂ければ幸いです．(Twitter:@sys_socket) 恐らく何かしら間違ってたり，足りなかったりします．多分． 誰か教えてください． はい． https://www.ashemery.com/dfir.html のChallenge #2 Case1はこちら Digital Forensic Challenge #1 - Web Server Case Write up - socketo.hatenablog.jp 問題文 This is another digital forensics image that was prepared to cover a full Windows Forensics course. System Image: here Hashes: here Password = here You can use the image to learn the following: File Carving, Custom Carving, and Keyword Searching File System Forensics - NTFS Deep Windows Registry Forensics: System and User Hives SYSTEM SOFTWARE SAM NTUSER....