フォレンジック参考資料いろいろ

最近読んだプレゼン資料などです。

Win32dd : Challenges of Windows physical memory acquisition and exploitation

Imaging RAIDs

Contagious errors: Understanding and avoiding issues with imaging drives containing faulty sectors

Fuzzy Hashing for Digital Forensic Investigators

My You Look SuperFetching

RAM is Key: Extracting Disk Encryption Keys From Volatile Memory

Live Forensic Acquisition as Alternative to Traditional Forensic Processes

MIR-ROR

Sysinternals のツールや Windows Server 2003 Resource Kit のツールを呼び出して稼働中のシステムの色々な情報を調べてログに記録してくれるバッチファイル。使用するためには Sysinternals のツールや Windows Server 2003 Resource Kit を別途ダウンロードする必要があります。

MIR-ROR

MIR-ROR の詳しい説明はこちらから。

MIR-ROR: Motile Incident Response – Respond Objectively, Remediate

試しに使ってみたらちょっとバグがあって、MIR-ROR をインストールしたドライブとログを記録するドライブが別になっている場合はうまく動きませんでした。1行直してカレントディレクトリを記録先のドライブに変更するようにしたら大丈夫でした。

確かマイクロソフトが法執行機関限定で配布している COFEE (Computer Online Forensic Evidence Extractor) も MIR-ROR と似たようなことをしてるんじゃなかったかな。

FAQ: Computer Online Forensic Evidence Extractor (COFEE)

Microsoft serves law enforcement free COFEE

PCから犯罪の証拠を引き出すマイクロソフトのUSBドライブ「COFEE」

USB WriteProtector

USB WriteProtector
Windowsレジストリの HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\StorageDevicePolicies\WriteProtect の値を書き換えて USB のマスストレージデバイスを読み取り専用に設定できるツール。メッセージの日本語表示も可能。

同じようなツールの M2CFG USB WriteBlockWindows Vista 上でインストーラが動いてくれなくてインストールできなかったから、Windows Vista 上で使うならこの USB WriteProtector がいいかも。