LoginSignup
0
0

More than 1 year has passed since last update.

@gpmrh096

Module 02-04 さまざまな形式のファイルを表示する

Posted at

シナリオ
ネットワーク管理者は、セキュリティ侵害事件の後、会社のネットワーク上でいくつかの未知のファイルが送信されたと報告しました。調査の結果、攻撃者がネットワーク管理者を混乱させるためにファイル形式を隠していたことが判明しました。調査員はファイル ビューアを使用して形式を認識し、攻撃の原因となった内容を抽出します。

コンピューター フォレンジックの専門家になるには、フォレンジック調査に使用されるさまざまなファイル表示ツールに関する十分な知識が必要です。

この知識には、ファイルをすばやく見つける方法、さまざまな形式のファイルを表示する方法などが含まれます。

目的
ファイル形式は、ファイルの内容を表示する方法をプログラムに指示するファイルのレイアウトです。一般的なファイル形式には、.doc、.gif、.jpg、.png、.mp3、.pdf、.txt などがあります。
目的は、学生がファイル ビューアを使用してファイルの表示を学習および実行できるようにすることです。ファイル ビューアは、さまざまな形式のファイルを表示するために使用されます。

概要
ファイル ビューアーを使用してさまざまな形式のファイルを検査し、さらに調査が必要かどうかを理解する方法を学習します。

※マシン (実行中の場合)でリアルタイム保護が無効になっていることを確認してください。

1
FileViewをダウンロードし、FileView.exe をダブルクリックしてセットアップを起動し、ウィザードによるインストール手順に従ってアプリケーションをインストールします。
整合性のチェック_15.png

※「ユーザー情報」セクションが表示された場合は、 「名前」および「会社」フィールドに詳細を入力し、「次へ」をクリックして続行します。

2
インストールが完了したら、「完了」をクリックします。 
ファイルの形式を表示する_02.png

3
デスクトップ上のFile Viewer 9.5アイコンをダブルクリックして、アプリケーションを起動します。
ファイルの形式を表示する_03.png

4
ファイルビューアの登録]ポップアップが表示されます。「閉じる」ボタンをクリックして、 「ファイル ビューア」ウィンドウを開きます。
image.png

5
[ファイルビューア]メイン ウィンドウと、[ファイル ビューアの使用開始]ダイアログ ボックスが表示されます。[起動時に表示しない]オプションをオンにして、[キャンセル]をクリックします。
ファイルの形式を表示する_05.png

6
[ファイル]メニューに移動し、 [開く]をクリックします。
ファイルの形式を表示する_06.png

7
[開く]ダイアログ ボックスで次の操作を行います。
1.証拠ファイルのパス ( C:\CHFI-Tools\Evidence Files\Image Files )を見つけます。
 2.[ファイルの種類]ドロップダウン リストで[すべてのファイル ( . )]を選択します。
 3.ファイルFriends2.jpgを選択し、「開く」をクリックします。
ファイルの形式を表示する_07.png

8
「Getting Started with File Viewer」ダイアログ・ボックスが表示された場合は、 「Cancel」をクリックします。

9
次のスクリーンショットに示すように、ファイル ビューア画面で画像Friends2.jpgが開きます。
ファイルの形式を表示する_08.png

10
[ファイル] --> [ファイル プロパティ]に移動して、選択した画像のさまざまなプロパティを表示します。
ファイルの形式を表示する_09.png

11
[ファイルプロパティ]ウィンドウがポップアップ表示され、選択したファイルのさまざまなプロパティが表示されます。「OK」をクリックしてウィンドウを閉じます。
ファイルの形式を表示する_10.png

12
次に、アプリケーションでmp4 ( 520px-Biohazard_symbol_(blue).mp4 ) ファイルを開きます。

13
[ファイル]メニューに移動し、 [開く]をクリックします。
ファイルの形式を表示する_11.png

14
[開く]ダイアログ ボックスで次の操作を行います。
1.証拠ファイルのパスに移動する。
2.[ファイルの種類]ドロップダウン リストで[すべてのファイル ( . )]を選択します。
3.ファイル520px-Biohazard_symbol_(blue).mp4を選択し、[開く]をクリックします。
ファイルの形式を表示する_12.png

15
「Getting Started with File Viewer」ダイアログ・ボックスが表示された場合は、 「Cancel」をクリックします。

16
ファイル ビューアのポップアップに「 LTMM エラー 」というメッセージが表示された場合は、「OK」をクリックしてポップアップを閉じます。

17
次のスクリーンショットに示すように、ファイル ビューアーはmp4 ファイルを実行しようとしますが、失敗します。
image.png

18
これは、ファイルが破損しているか、ファイル拡張子が強制的に変更されて画面が空白になった場合に発生します。このようなファイルはさらに調査する必要があります。

調査する前に、疑わしいファイルを特定する必要があります。このようなファイルとその元のファイル形式の特定については、「Module_Windows Forensics」で説明されています。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0