0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

忘備録:ハッキング解析

Posted at

Q1 イメージファイルの確認
イメージファイルのMD5ハッシュ値を求めます。
イメージファイルのハッシュ値をmd5sumコマンドで算出します。

image.png
(イメージファイルSCHARDT.imgは調査対象)

image.png

Q2 OSの特定
FTK imagerでWindowsPCのこのconfigフォルダを開く
 ファイル(NTUSR.DAT,Usrclass.dat)を解析PCにエクスポートする
RegRipperを使って解析する

image.png

多くのプラグインがありますので、このようにプラグインに関するテキストファイルを作成し、検索できるようにしておくと解析の効率が高まります。
image.png

image.png
image.png

Q3 OSのインストール日の特定
  rip -r <パス> -p winver
image.png

Q4 タイムゾーンの調査
  rip -r <パス> -p timezone
image.png

Q5 所有者情報の調査
rip -r <パス> -p winnt_cv
image.png
image.png

Q6 コンピュータ名の調査
rip -r <パス> -p compname
image.png

Q7 ホスト名の調査
rip -r <パス> -p compname
image.png

Q8 最後のシャットダウン時刻の調査
rip -r <パス> -p shutdown
image.png

Q9 PC登録アカウントの調査
rip -r <パス> -p samparse
image.png

Q10 PC利用状況の調査
rip -r <パス> -p compname | grep -i -e login
image.png

Q11 最後にログインしたユーザの調査
rip -r <パス> -p compname | grep -i username -e login
image.png

Q12 アカウントについて
登録者の調査
image.png

もっとも使用しているアカウントのPC利用状況の調査
rip -r <パス> -p samparse | grep -r -e username | grep -i username -e login

image.png

最後にログインしたユーザーの調査
image.png

Q13 ネットワークインタフェースカードの調査
image.png
ETHERNETと無線LANの2つのネットワークインタフェースカードがあります。

Q14 IPアドレスとMACアドレスの調査
Program FilesのディレクトリーのLook@LANのディレクトリーに移動し、その設定ファイルを調査します。
image.png

Q15 インターフェースカード製造メーカの調査
MACアドレスの12文字の上6文字はOUI Organizationally Unique Identifierと呼ばれ、製造メーカーに与えられるIDです。
サイトで調べることができます。

Q16 ハッキングプログラムの調査
よくハッキングに利用されるプログラムあるいはツールとして以下が挙げられます。
すなわち、パスワードの収集解読ツール、Snifferと呼ばれる盗聴ツール、あるいはパケット解析ツール、リモートデスクトップのツール、無線LANのアクセスポイント検出ツール、脆弱性検査ツールおよびネットワークスキャナーなどがよく使用されます。

一般にWindows PCのプログラム、ツールのインストール場所としてProgram Filesが最も可能性が高いと言えます。
・ FTK imagerにより、イメージファイル内のProgram Filesのディレクトリーを調べ、
  ハッキングと関係のありそうなプログラムを挙げる
・ WindowsのFTK imagerで、イメージファイルSchardtのProgram Filesを開く
  わからない名前を調べていく
image.png

Q17 SMTPメールアドレスの調査
  grep -ir SMTPusernmame
image.png

Q18 NNTP(news server)設定の調査
NNTPは通信プロトコルです。ここ最近は使われにくいプロトコルのため、不正利用される場合は使用される可能性があります。
image.png
  grep -ir newsserver

Q19 NNTP(news server)関連プログラムの調査
image.png
Agentをキーワードにしてネット検索してみます。
image.png
捜査対象のProgram Filesを調べます。
image.png

Q20 Documentsの調査(調査対象外、、、一応記載)
拡張子dbxを含む名前のファイルを探すことにします。
image.png

結果
image.png

エクセルにコピー
image.png

見やすいように整理をし、メールなどのドキュメントを消していきます。
image.png

Q21 チャットの調査
Program filesにチャットのファイルがあります。
今回はmIRCというIRCインターネットリレーチャットのユーザ設定の内容を調べます。
image.png
結果
image.png

チャットログファイルの調査
Program files の中のmIRCディレクトリーの中にlogsというディレクトリーがありますので、それを開きます。
image.png

Q22 パケット盗聴ファイルの調査
Etherealを用いて盗聴したと考えられるデータのファイルを特定していきます。
解析方針としてマウントディレクトリのDocuments and Settingの中のユーザーのディレクトリを調べ、盗聴データパケットキャプチャファイルを探します。
image.png

今回はinterceptionというファイルが見つかります。
fileコマンドでこのファイルをプロファイリングします。
image.png

Q23 盗聴された通信端末の調査
Wiresharkを用いて前課題で検出したパケットキャプチャファイルの中の通信内容を解析し、盗聴された無線通信端末の種類を特定することにします。

Wiresharkを開き、メニューバーのFile→Open→対象者のディレクトリ→検索欄にinterceptionを入れる→Open
image.png
パケット履歴が見れます。
image.png

パケットストリームのひとつを右クリックし、このようにTCPストリームを抽出します。
image.png

Q24 アクセスしたWebサイトの調査
検索窓にhttpと入れて、被害者が訪れたWebサイトのURLを抽出します。
image.png

Q25 Webベースメールアドレスの調査
ユーザーディレクトリーにおいて先に示した正規表現を用いてメールアドレスを抽出します。
image.png

候補が出ます。
image.png

エクセルにtextファイルを開きます。
image.png

各メールアドレスの出現回数を計算します。
image.png

出現回数の多い順にソートします。
image.png

Q26 Webベースメールの保存先の調査
マウントディレクトリーのDocuments and Settingに移動し、下記のgrepコマンドを実行します
image.png

いくつか拡張子htmが付いたファイルが現れます。
メールの内容が表示されているファイルとしてこのShowLetter[1].htmがあります。
メールアドレスに関する情報を検索します。
image.png

ファイルShowLetter[1].htmにYahooメールが保存されていることが分かります。
image.png

Q27 ゴミ箱に残っている実行ファイルの調査
ゴミ箱 ディレクトリーRECYCLERのSIDのついたファイルを開き、実行ファイル拡張子exeが付いたファイルの数を調べます。
FTK imagerでイメージファイルを開き、RECYCLERの内容を見てみます。
image.png

Q28 ゴミ箱に残っている実行ファイルの削除の調査
ゴミ箱で見つかった実行ファイルは本当に削除されているのかの調査になります。
ゴミ箱で表示されているファイルは、実際には残っています。
FTK imagerで開いて見つかった実行ファイルについて、以下の方法で残っていることを確認します。
実行ファイルをクリックし、FTK imagerの下のペイン 領域にバイナリ情報を表示させることにします。
image.png
ァイルをクリックしますと下のペインにファイルのバイナリ情報が表示され、実行ファイルであることが確認できます。

Q29 実際に削除されたファイルの調査
RECYCLERディレクトリ内にINFO2という名前のファイルがありますので、これに記載されている削除情報をツールrifiutiを用いて調べることにします。
ごみ箱から削除されたファイルの情報は、RECYCLERディレクトリの内の各ユーザーのSIDが付いたディレクトリーの中にあるINFO2ファイルに記載されます。
image.png

apt-getコマンドでrifiutiをインストールします。
image.png

rifiutiの利用法の確認をします。
image.png

image.png

Q30 コンピュータウィルスの調査
PCにウイルススキャンツールclamscanを用いて、マウントディレクトリー内のコンピューターウイルスの有無を調査します。
マウントディレクトリーに移動し、以下のコマンドで検査を実施します。
image.png

image.png

image.png
この部分を調べていきます。

Q31 解析結果のまとめ

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?