USBNinjaの接続履歴の確認

某フォレンジック技術者が集まる交流会で発表した「USBNinjaのフォレンジック」をブログに転記します。 (仕事がバタバタしていて、転記まで時間が掛かっちゃいましたが….) -----------------------------------------------■USBNinjaとは DEFCONでも販売されていた「見た目はLightningケーブルだが、悪意のあるプログラムの実行が行えたりする代物」です。なお、USBタイプCのものとかもあります。いわゆる「BAD USB」の...

Cache.spliteがエクスポートできない現象について

「Cache.splite」について、書き忘れがありまりした。今回の検証では、JailBreakしたiPhoneを、iFunBoxをインストールしたPCに接続して、ファイルのエクスポートしたのですが、iPhoneにパスコードを設定していると、何回エクスポートを行ってみても、Cache.spliteを取り出せませんでした。iFunBoxの画面にはファイルが表示されていて、エクスポートの指示は出せるのですが、いくら待ってもエクスポートされない現象が起きます。し...

iOS11の「利用頻度の高い場所」の解析

久しぶりにiPhoneの「利用頻度の高い場所」のデータを見てみたので、メモ。実際に確認したデータのスナップショット画像を掲載すると面白いだろうが、位置情報を晒すのは恥ずかしいので、やめました。このデータは、昔は「\var\mobile\Library\Caches\com.apple.routined」の中にある「stateModel1.archive」&「stateModel2.archive」に記録されていましたが、いつの間にかファイル名が「cache_encryptedA.db」&「cache_en...

Microsoft Officeのasdファイル その1

まいった。全然ブログを更新できていなかった....仕事の方が忙しくなると、ブログを定期的に書くのは、とても大変になりますね。定期的にブログを書いている方は、「スゴイなぁ~」と改めて思いました。さてさて、ではたいしたネタもないのですが、何か書いていくとします。Microsoft Officeには、突然のアクシデントに備えるための「自動回復用データ」があり、文書作成中に定期的に「自動回復用ファイル」を作ってくれています。...

Bluetoothのファイル送信 その4

Windows側の痕跡は何となくわかったので、スマホ側を見てみます。なお、スマホのデータ抽出に関しては、商用ツールを使ったので、ここには記載を控えます。おそらく、フィジカルイメージかファイルシステムダンプが取れないと、以下に記載する情報は確認できないと思います。データ抽出後、データベースを色々見てみたら、以下のファイルに分かりやすい履歴がありました。DBの場所:Root/user_de/0/com.android.bluetooth/database...

Bluetoothのファイル送信 その3

PCに「ファイルをBluetoothで送信した」と言える痕跡がないか確認してみます。ネットワーク通信でファイルを送っているので、「SRUMに履歴があるかも」と思って見てみたところ、SRUMの「Network Usage」にBluetoothのファイル転送を行うプログラムの履歴が残っていました。 この「fsquirt.exe」は、Bluetoothのファイル転送を行うプログラムとのことです。参考↓https://msdn.microsoft.com/en-us/library/windows/hardware/dn1338...

IMEJP Watsonの日本語変換履歴 その2

久しぶりに、履歴について、もうちょっと見てみようと思ったら、履歴ががけっこう消えていました。今日は2018/10/14。残っているデータは一週間前からの物だけのようです。先週、たしかWindowsの更新プログラムのインストールがあったので、その影響で消えたのかなぁ??それとも時間経過が関係していて、古いデータは消える仕様なのでしょうか??ファイル名の中の「番号」は、履歴の順番を示していることは想像できるので、ちょ...

Bluetoothのファイル送信 その2

前回の続きレジストリを確認してみます。HKLM\CurrentControlSet\Enum\BTHENUM更に中に Bluetoothで接続したXperiaの情報が記録されています。USBで接続した場合とは異なるレジストリキーなので、Bluetoothのペアリングをしたスマートフォンの確認に使えると思います。以下、接続日時等の情報確認(以下の画像は、以前に書いたドキュメントから画像を拝借してるのですが、誤字があります。ちょっと直すのが面倒なので、そのままで...

Bluetoothのファイル送信 その1

ちょっと前に検証してみたものをブログに転記。Bluetoothの機能を使うと、USBケーブルなどでWindows PCとスマートフォンを接続しなくとも、ファイルの送信が行えますよね。   Bluetooth機能が搭載されていないPCであっても、Bluetoothレシーバーを接続することにより、この機能は利用できます。 では、この機能を使って、会社の機密情報をスマホにコピーしたような事案では、どこに痕跡が残るのでしょうか?確...

IMEJP Watsonの日本語変換履歴 その1

メモメモ。IMEJP Watsonのファイルに、ユーザーが入力した日本語文字列の履歴が残ってますね。こういうのは、不正調査系で使える事があるので、備忘用にメモしておきます。文字列のとこだけ見ると、こんな感じの履歴です。とりあえず、以下の検証で確認してみました。まず、テキストエディッタで「こんば」まで入力します。入力候補が出るので、ここから「こんばんは」を選びます。無事に「こんばんは」と入力できました。すると、...

ブログの趣旨

先人を見習って、ブログにチャレンジしてみることにしました。いつまで続くかは分かりません(笑)更新も頻繁にはできないでしょう。でもまぁ、どこかの誰かの参考になれば、誰かに教えてもらったことの恩返しにもなるので、書いてみる事にします。「スゴイことを書こう!」なんて思うと続かないので、「小っちゃな検証結果とかを書いていけば良いかなぁ~」って感じでノンビリやります。 現在の閲覧者数:...

test

表示テストテストテストテスト(・Д・)ノ現在の閲覧者数:...