Forensics

※ 移行前の元ブログ記事 : GCFA(GIAC Certified Forensic Analyst)合格した - #include <sys_socket.h> GIAC Certified Forensic Analystというのに合格した報告です。 以上です。

※ 移行前の元ブログ記事 : Magnet User Summit CTF 2019 WriteUp [Mobile] - #include <sys_socket.h> Magnet User Summit 2019 Magnet Forensicsというフォレンジック製品などをやっている企業のサミットが2019/04/02～2019/04/03に行われていました。 https://magnetusersummit.com/ Twitterで「#mus2019」で検索すると現地の様子がなんとなく分かりそう。発表スライドとかもあったりする。 https://twitter.com/search?q=%23mus2019 今回も、以前のDFIR CTFのようにMagnet User Summit CTF 2019として開催されていたものが、公開されていたのでやっていきの記事です。 AXIOMの使い方を学ぶ的な問題。 Hacking Exposed Computer Forensics Blog Daily Blog #657 MUS2019 DFIR CTF open to the public : https://www.hecfblog.com/2019/04/daily-blog-657-mus2019-dfir-ctf-open-to.html Magnet AXIOMという有償のフォレンジックツールが2019/05/04までのトライアルのキーがついて使用することができてすごい。 せっかくなので使ってみる感じで、頑張ってAXIOMだけでとりあえずやっていきます。 https://www.magnetforensics.com/products/magnet-axiom/ 「Mobile」カテゴリはモバイルフォレンジック的な感じの問題で、Android端末のデータを取得したケースが与えられてそれについて質問していくという感じです。 やっていきましょう。 AXIOMのインストール AXIOMは一応日本語対応はしていますが、設定する際に「日本語」ではなく、「English」にする方が良いです。 (CSVなどのファイルに出力する際、カラムが結構厳しい日本語とかになってしまうので) インストールしたら、ライセンスが聞かれるので、ファイル名「AXIOM 30-day Trial Key Install by May 4.txt」にキーが書いてあるのでそれをライセンスキー入力する。 Mobile ケースファイル「AXIOM - Mar 28 2019 114941 Mobile/Case....

※ 移行前の元ブログ記事 : SECCON 2018 Online CTF Forensics問題 Write-up - #include <sys_socket.h> はじめに SECCON2018のオンライン大会のForensics問題のWrite-up フォレンジック問題はやるかと腰を上げてやるだけやった UnzipとHistory Unzip 問題文 $ Unzip flag.zip. Write-up ファイル名:unzip.zip_26c0cb5b40e9f78641ae44229cda45529418183fのZIPファイルが落ちてくる． $ file unzip.zip_26c0cb5b40e9f78641ae44229cda45529418183f unzip.zip_26c0cb5b40e9f78641ae44229cda45529418183f: Zip archive data, at least v1.0 to extract 普通にzipファイルなのでunzipする $ unzip -d unzip unzip.zip_26c0cb5b40e9f78641ae44229cda45529418183f Archive: unzip.zip_26c0cb5b40e9f78641ae44229cda45529418183f extracting: unzip/flag.zip inflating: unzip/makefile.sh unzipするとflag.zipとmakefile.shが出てくる flag.zipは暗号化されたZIPファイル $ ls -la .rw-r--r--@ 225 socketo 27 10 0:10 flag.zip .rwx---r-x@ 99 socketo 27 10 0:10 makefile.sh makefile.shの中身を見ると，zipパスワードにperl -e "print time()"で出力されたunixtimeが設定されていることがわかる...

※ 移行前の元ブログ記事 : Defcon DFIR CTF 2018 # Image2 - FileServer WriteUp - #include <sys_socket.h> はじめに 以下の記事の続き． Defcon DFIR CTF 2018 # Image1 - HRServer WriteUp ディスクイメージの容量が大きくて削除したいので供養(すべて解けていないので誰か教えてください状態) File Server Basic HR Serverの問題を解いているといつの間にかNextという項目が増えて，Image2.7zのパスワードが開示されるので，Imag2(File Server)をやっていくことができる File Server - Basic 1(2) 問題文 What is the volume serial number of the only partition on the File Server Disk Image Volumeのシリアルナンバーを答える． FTK Imagerで開いているイメージファイルのFile System Informationを見る． FLAG:C096-2465 File Server - Basic 2(2) 問題文 What is the name of the examiner who made the Forensic Image?...

※ 移行前の元ブログ記事 : Defcon DFIR CTF 2018 # Image1 - HRServer WriteUp - #include <sys_socket.h> はじめに インターネットを眺めていたら，Magnet Forensicsが開催してaいたDFIRのCTF「Defcon DFIR CTF 2018」が公開されていたのでやった話（全部は解けていない） The #Defcon #DFIR #CTF is now open to the public. https://t.co/IdOE23dMzh #infosec— David Cowen (@HECFBlog) 2018年8月13日 Hacking Exposed Computer Forensics Blog Daily Blog #451 Defcon DFIR CTF 2018 Open to the Public : http://www.hecfblog.com/2018/08/daily-blog-451-defcon-dfir-ctf-2018.html Defcon DFIR CTF 2018 : https://defcon2018.ctfd.io/challenges 対象イメージファイル 実際に調査するイメージファイルは以下のブログのDropboxのリンクからImage1，Image2，Image3と3つダウンロードできる． http://www.hecfblog.com/2018/08/daily-blog-451-defcon-dfir-ctf-2018.html Image1.7zのパスワードは書いてあるので，それを使う． Image2.7z，Image3.7zのパスワードはCTFの問題を解いていくと分かる． やっていったら長くなったので，Image2とImage3については今後書く予定です． Image 1 : HRServer Image1....

※ 移行前の元ブログ記事 : Digital Forensic Challenge #2 - User Policy Violation Case Write up - #include <sys_socket.h> 本投稿の内容に間違いや問題などありましたら，Twitter経由などでやんわり優しめに教えて頂ければ幸いです．(Twitter:@sys_socket) 恐らく何かしら間違ってたり，足りなかったりします．多分． 誰か教えてください． はい． https://www.ashemery.com/dfir.html のChallenge #2 Case1はこちら Digital Forensic Challenge #1 - Web Server Case Write up - socketo.hatenablog.jp 問題文 This is another digital forensics image that was prepared to cover a full Windows Forensics course. System Image: here Hashes: here Password = here You can use the image to learn the following: File Carving, Custom Carving, and Keyword Searching File System Forensics - NTFS Deep Windows Registry Forensics: System and User Hives SYSTEM SOFTWARE SAM NTUSER....

※ 移行前の元ブログ記事 : Digital Forensic Challenge #1 - Web Server Case Write up - #include <sys_socket.h> 本投稿の内容に間違いや問題などありましたら，Twitter経由などでやんわり優しめに教えて頂ければ幸いです．(Twitter:@sys_socket) はい． https://www.ashemery.com/dfir.html のChallenge #1 参考: Between Two DFIRns: Ashemery.com: Challenge #1 - Web Server Case Write-up 問題文 A company’s web server has been breached through their website. Our team arrived just in time to take a forensic image of the running system and its memory for further analysis. The files can be found below: 1....