Q1 イメージファイルの確認
イメージファイルのMD5ハッシュ値を求めます。
イメージファイルのハッシュ値をmd5sumコマンドで算出します。
Q2 OSの特定
FTK imagerでWindowsPCのこのconfigフォルダを開く
ファイル(NTUSR.DAT,Usrclass.dat)を解析PCにエクスポートする
RegRipperを使って解析する
多くのプラグインがありますので、このようにプラグインに関するテキストファイルを作成し、検索できるようにしておくと解析の効率が高まります。
Q3 OSのインストール日の特定
rip -r <パス> -p winver
Q4 タイムゾーンの調査
rip -r <パス> -p timezone
Q5 所有者情報の調査
rip -r <パス> -p winnt_cv
Q6 コンピュータ名の調査
rip -r <パス> -p compname
Q7 ホスト名の調査
rip -r <パス> -p compname
Q8 最後のシャットダウン時刻の調査
rip -r <パス> -p shutdown
Q9 PC登録アカウントの調査
rip -r <パス> -p samparse
Q10 PC利用状況の調査
rip -r <パス> -p compname | grep -i -e login
Q11 最後にログインしたユーザの調査
rip -r <パス> -p compname | grep -i username -e login
もっとも使用しているアカウントのPC利用状況の調査
rip -r <パス> -p samparse | grep -r -e username | grep -i username -e login
Q13 ネットワークインタフェースカードの調査
ETHERNETと無線LANの2つのネットワークインタフェースカードがあります。
Q14 IPアドレスとMACアドレスの調査
Program FilesのディレクトリーのLook@LANのディレクトリーに移動し、その設定ファイルを調査します。
Q15 インターフェースカード製造メーカの調査
MACアドレスの12文字の上6文字はOUI Organizationally Unique Identifierと呼ばれ、製造メーカーに与えられるIDです。
サイトで調べることができます。
Q16 ハッキングプログラムの調査
よくハッキングに利用されるプログラムあるいはツールとして以下が挙げられます。
すなわち、パスワードの収集解読ツール、Snifferと呼ばれる盗聴ツール、あるいはパケット解析ツール、リモートデスクトップのツール、無線LANのアクセスポイント検出ツール、脆弱性検査ツールおよびネットワークスキャナーなどがよく使用されます。
一般にWindows PCのプログラム、ツールのインストール場所としてProgram Filesが最も可能性が高いと言えます。
・ FTK imagerにより、イメージファイル内のProgram Filesのディレクトリーを調べ、
ハッキングと関係のありそうなプログラムを挙げる
・ WindowsのFTK imagerで、イメージファイルSchardtのProgram Filesを開く
わからない名前を調べていく
Q17 SMTPメールアドレスの調査
grep -ir SMTPusernmame
Q18 NNTP(news server)設定の調査
NNTPは通信プロトコルです。ここ最近は使われにくいプロトコルのため、不正利用される場合は使用される可能性があります。
grep -ir newsserver
Q19 NNTP(news server)関連プログラムの調査
Agentをキーワードにしてネット検索してみます。
捜査対象のProgram Filesを調べます。
Q20 Documentsの調査(調査対象外、、、一応記載)
拡張子dbxを含む名前のファイルを探すことにします。
見やすいように整理をし、メールなどのドキュメントを消していきます。
Q21 チャットの調査
Program filesにチャットのファイルがあります。
今回はmIRCというIRCインターネットリレーチャットのユーザ設定の内容を調べます。
結果
チャットログファイルの調査
Program files の中のmIRCディレクトリーの中にlogsというディレクトリーがありますので、それを開きます。
Q22 パケット盗聴ファイルの調査
Etherealを用いて盗聴したと考えられるデータのファイルを特定していきます。
解析方針としてマウントディレクトリのDocuments and Settingの中のユーザーのディレクトリを調べ、盗聴データパケットキャプチャファイルを探します。
今回はinterceptionというファイルが見つかります。
fileコマンドでこのファイルをプロファイリングします。
Q23 盗聴された通信端末の調査
Wiresharkを用いて前課題で検出したパケットキャプチャファイルの中の通信内容を解析し、盗聴された無線通信端末の種類を特定することにします。
Wiresharkを開き、メニューバーのFile→Open→対象者のディレクトリ→検索欄にinterceptionを入れる→Open
パケット履歴が見れます。
パケットストリームのひとつを右クリックし、このようにTCPストリームを抽出します。
Q24 アクセスしたWebサイトの調査
検索窓にhttpと入れて、被害者が訪れたWebサイトのURLを抽出します。
Q25 Webベースメールアドレスの調査
ユーザーディレクトリーにおいて先に示した正規表現を用いてメールアドレスを抽出します。
Q26 Webベースメールの保存先の調査
マウントディレクトリーのDocuments and Settingに移動し、下記のgrepコマンドを実行します
いくつか拡張子htmが付いたファイルが現れます。
メールの内容が表示されているファイルとしてこのShowLetter[1].htmがあります。
メールアドレスに関する情報を検索します。
ファイルShowLetter[1].htmにYahooメールが保存されていることが分かります。
Q27 ゴミ箱に残っている実行ファイルの調査
ゴミ箱 ディレクトリーRECYCLERのSIDのついたファイルを開き、実行ファイル拡張子exeが付いたファイルの数を調べます。
FTK imagerでイメージファイルを開き、RECYCLERの内容を見てみます。
Q28 ゴミ箱に残っている実行ファイルの削除の調査
ゴミ箱で見つかった実行ファイルは本当に削除されているのかの調査になります。
ゴミ箱で表示されているファイルは、実際には残っています。
FTK imagerで開いて見つかった実行ファイルについて、以下の方法で残っていることを確認します。
実行ファイルをクリックし、FTK imagerの下のペイン 領域にバイナリ情報を表示させることにします。
ァイルをクリックしますと下のペインにファイルのバイナリ情報が表示され、実行ファイルであることが確認できます。
Q29 実際に削除されたファイルの調査
RECYCLERディレクトリ内にINFO2という名前のファイルがありますので、これに記載されている削除情報をツールrifiutiを用いて調べることにします。
ごみ箱から削除されたファイルの情報は、RECYCLERディレクトリの内の各ユーザーのSIDが付いたディレクトリーの中にあるINFO2ファイルに記載されます。
apt-getコマンドでrifiutiをインストールします。
Q30 コンピュータウィルスの調査
PCにウイルススキャンツールclamscanを用いて、マウントディレクトリー内のコンピューターウイルスの有無を調査します。
マウントディレクトリーに移動し、以下のコマンドで検査を実施します。
Q31 解析結果のまとめ