KaniVola

日本語

KaniVolaはThe Volatility FrameworkのWindows用GUIインターフェースです。CLIであるVolatilityを実行する際に指定する複数のオプションを、少ない操作で入力し実行結果を簡単に保存できることを目的としています。

KaniVolaはKaniVolatilityの派生版で、Volatility 2.5での動作を想定しています。

(2016/10/30 追記)
0.9.1をリリースしました。
0.9からの変更点はバグ修正とバッチ処理用設定ファイル類の更新(最適化)です。

NSRLJP

日本語

NSRLJPはNSRL(http://www.nsrl.nist.gov/)を補完することを目的としたハッシュデータセット(ハッシュライブラリ)です。

(2016/09/20)
NSRLJP_201609にアップデートしました。Windows 10 (1511), Windows 10 Anniversary Update(1607)、.NET Framework 4.6.1, 4.6.2、2016年8月までのWindows Updateを新たに追加し、その他のメジャーアプリケーションは2016/09/15時点の最新バージョンまでを含めています。

ダウンロード

NSRLJP_201609.zip (ハッシュ数: 2,309,928、ファイルサイズ: 158,073,246バイト、SHA-1: 407e6ebebb109af6e350b45909472e18dddabc1a)

WinFE based on WinPE for Windows 10

日本語

WinFEを使うとターゲットをWindowsベースで起動してからディスクの保全や調査が可能となります。以下のサイトではトレーニングコンテンツが用意されており、WinFEの背景や作り方などの一通りのことが把握できます。

Winodws Forensic Environment
http://courses.dfironlinetraining.com/windows-forensic-environment

上記の内容は少し古くWindows 8以降の話は出てこないため、Windows 10ベースでWinFEが作れるか試してみました。以下のサイトで紹介されている手順を参考にして、UEFIでセキュアブートが有効な環境でCD/USBブート可能なWindows 10ベースのイメージを作成できることを確認しました。

Winfe : the forensic winpe made in windows 8 , windows 7 and vista
https://gverswijvel.wordpress.com/tag/waik-for-windows-10/

Deleted Shadow Copies

日本語

Volume Shadow Copy(VSS/VSC)には以前のデータが格納されているため、重要な調査箇所です。

しかし、マルウェアによっては意図的にShadow Copy(SC)を削除することが報告されています。例えば以下の事例では、重要なファイルをSDeleteで削除した後にwmicコマンドを活用してSCを削除しています。

CRYPVAULT: New Crypto-ransomware Encrypts and “Quarantines” Files
http://blog.trendmicro.com/trendlabs-security-intelligence/crypvault-new-crypto-ransomware-encrypts-and-quarantines-files/

また、以下ではvssadminコマンドを実行してSCを削除することが報告されています。

情報窃取型不正プログラムと連携するランサムウェア「Cryptowall 3.0」
http://blog.trendmicro.co.jp/archives/11149

これらの処理が起きた際にディスク上でどのような処理が発生しているか、SC内のデータ復元が可能かを検討しました。

結論としては、wmic, vssadmin経由でSCを削除した場合にはファイルシステムレベルで削除しており、それまでにクラスタに保存されていたデータ(コンテンツ)は残っています。従ってツールを適切に扱えば、別のファイル等によって同領域が上書きされるまでSCからデータ復元が可能といえます。

SDelete

日本語

Windows SysinternalsのSDeleteは、既存のファイルを安全に削除したりディスクの未割当領域を安全に削除することができるツールです。

このツールは攻撃者によっても悪用されることがあり、例えば以下のようにランサムウェアが鍵ファイルの削除に利用しているという事例も報告されています。

CRYPVAULT: New Crypto-ransomware Encrypts and “Quarantines” Files
http://blog.trendmicro.com/trendlabs-security-intelligence/crypvault-new...

このような背景を踏まえ、SDelete実行に伴う変化をフォレンジックの観点で確認してみました。

結論としては、解析することによりSDeleteの実行有無、実行日時、削除されたファイル名、ファイルサイズ、その他のメタデータが判明する可能性があります。また、VSSやバックアップが残っていればデータを復元できる可能性がありますが、原則は困難と思われます。

FCNS_PF EnScript

日本語

FCNS_PFはWindowsのプリフェッチファイル(pf)をカービングおよびパースするEnScriptです。

(2015/04/19 追記)
Target - Otherの対象にVSSを追加しました。
ただし、VSSの構造をパースしていないためカービング結果は不完全になる可能性が高いです。
VSS内でカービングできたPFが見つかった場合は、再度VSSをパースした状態でPFを確認することをお勧めします。
また、これまではPCに設定されているタイムゾーンにあわせていましたが、証拠ファイルに設定したタイムゾーンにあわせて出力するようにしました。

使い方

Caseを作成もしくはオープン後、調査対象を追加してから実行します。メニュー/オプションの内容は以下の通りです。

  • Target: パース/カービング対象のファイル/オブジェクトの選択
    • Selected: ブルーチェックしたファイル/オブジェクト
    • Other - *.pf, $LogFile, pagefile.sys, Unallocated Clusters, VSS (experimental): チェックボックスで選択
  • Filtering Option: パース/カービング時の挙動調節
    • Min Size/Max Size: カービングするファイルの最小/最大サイズをKB単位で指定
    • Search only starting position of each sector: 各セクタの先頭からはじまるPFパターンのみを探索
  • Export: パース/カービング結果の出力場所を指定
    • LEF File: カービングしたファイルをLEFとして出力する場所/ファイル名を指定
    • TSV File: カービングしたファイルに関するメタデータの出力場所/ファイル名を指定

ダウンロード

FCNS_PF_0.8.EnPack (SHA1: 164136174e6473178b96ed60a689441ef94843ee)
FCNS_PF_0.7.EnPack (SHA1: e5f220f0738f4445001ef8f8e3f1148be0fb8072)

ライセンス

個人、商用を問わず自由に利用することができますが、本ツールの利用により生じた問題については責任を負いかねます。
EnPack形式で公開していますがEnScript形式をご希望の方はお問合せください。

動作環境

EnCase 7.x

FCNS_UsnJrnl EnScript

日本語

FCNS_UsnJrnlはNTFSのChange JournalsレコードをカービングおよびパースするEnScriptです。

(2015/04/19 追記)
Target - Otherの対象にVSSを追加しました。
また、これまではPCに設定されているタイムゾーンにあわせていましたが、証拠ファイルに設定したタイムゾーンにあわせて出力するようにしました。

使い方

Caseを作成もしくはオープン後、調査対象を追加してから実行します。メニュー/オプションの内容は以下の通りです。

  • Target: パース/カービング対象のファイル/オブジェクトの選択
    • Selected: ブルーチェックしたファイル/オブジェクト
    • Other - $UsnJrnl·$J, $LogFile, pagefile.sys, Unallocated Clusters, VSS: チェックボックスで選択
  • Filtering Option: パース/カービング時の挙動調節
    • From/To: 対象とするレコードの期間を指定
    • Skip duplication records: 重複するレコードを発見した場合には処理をスキップ
    • Integrate output records (for Exporting TSV File): 重複するレコードを発見した場合には処理をスキップ
  • Export: パース/カービング結果の出力場所を指定
    • LEF File: 発見したレコードをLEFとして出力する場所/ファイル名を指定
    • TSV File: 発見したレコードに関するメタデータの出力場所/ファイル名を指定

ダウンロード

FCNS_UsnJrnl_1.0.1.EnPack (SHA1: 8ee537493e3b405132b28823cde21f9492b218e7)
FCNS_UsnJrnl_1.0.EnPack (SHA1: 0b2dcdda60a1470d48873aef80eb130ab5e8413e)

ライセンス

個人、商用を問わず自由に利用することができますが、本ツールの利用により生じた問題については責任を負いかねます。
EnPack形式で公開していますがEnScript形式をご希望の方はお問合せください。

動作環境

EnCase 7.x

FCNS_PE EnScript

日本語

FCNS_PEはPEフォーマット(EXE, DLL, SYS)のカービングおよびパースをするEnScriptです。

(2015/04/19 追記)
Target - Otherの対象にVSSを追加しました。
ただし、VSSの構造をパースしていないためカービング結果は不完全になる可能性が高いです。
VSS内でカービングできたPEが見つかった場合は、再度VSSをパースした状態でPEを確認することをお勧めします。

使い方

Caseを作成もしくはオープン後、調査対象を追加してから実行します。メニュー/オプションの内容は以下の通りです。

  • Target: カービング対象のファイル/オブジェクトの選択
    • Selected: ブルーチェックしたファイル/オブジェクト
    • Other - $LogFile, pagefile.sys, Unallocated Clusters, VSS (experimental): チェックボックスで選択
  • Filtering Option: カービング時の挙動調節
    • Min Size/Max Size: カービングするファイルの最小/最大サイズをKB単位で指定
    • Search only the starting position of each sector: 各セクタの先頭からはじまるPEパターンのみを探索(注意: 通常、処理が遅くなります)
    • Carve out overwritten data: 有効にすると上書きされたと判断したデータであってもカービング
  • Export: カービングしたデータや結果の出力場所を指定
    • LEF File: カービングしたファイルをLEFとして出力する場所/ファイル名を指定
    • TSV File: カービングしたファイルに関するメタデータの出力場所/ファイル名を指定

ダウンロード

FCNS_PE_1.0.1.EnPack (SHA1: e77b59f9d7c94f084732ae7d1ea58e2cc32f23ed)
FCNS_PE_1.0.EnPack (SHA1: 9983b709e3b9149ade323543559c1c9e261528fc)

ライセンス

個人、商用を問わず自由に利用することができますが、本ツールの利用により生じた問題については責任を負いかねます。
EnPack形式で公開していますがEnScript形式をご希望の方はお問合せください。

動作環境

EnCase 7.x

FCNS_RAR EnScript

日本語

FCNS_RARはEntropy値を活用してRARファイルをカービングするEnScriptです。

使い方

Caseを作成もしくはオープン後、調査対象を追加してから実行します。メニュー/オプションの内容は以下の通りです。

  • Target: カービング対象のファイル/オブジェクトの選択
    • Selected: ブルーチェックしたファイル/オブジェクト
    • Other: $LogFile, pagefile.sys, Unallocated Clusters, VSS: チェックボックスで対象を選択
  • Filtering Option: カービング時の挙動調節
    • Entropy Level (1.0-7.9): ファイルの終端とみなすエントロピーの基準値
    • Search only starting position of each sector: 各セクタの先頭からはじまるRARパターンのみを探索
  • Export: パース結果の出力場所を指定
    • LEF File: カービングしたデータをLEFとして出力する場所/ファイル名を指定
    • TSV File: カービングしたデータに関する情報の出力場所/ファイル名を指定
    • Add LEF to Current Case: 出力したLEFを現在のケースに追加

ダウンロード

FCNS_RAR_0.8.EnPack (SHA1: 5777967fcd61bdaf30141e702478131ffd591038)

ライセンス

個人、商用を問わず自由に利用することができますが、本ツールの利用により生じた問題については責任を負いかねます。
EnPack形式で公開していますがEnScript形式をご希望の方はお問合せください。

動作環境

EnCase 7.x

PolAdtEv Parser

日本語
Windows Audit Policy Registry (PolAdtEv)でまとめた情報に基づき、監査ポリシーのレジストリをパースします。

Input部分にHKLM\Security\Policy\PolAdtEvキーの値を入力して、parseを押すと結果を表示します。入力値内にスペースが入っていてもいなくても問題ありません。初期状態はWindows 7の規定値を入れてあります。不明なパターンの場合は正しく結果を返さない可能性があります。

ページ