2019年05月08日

Facbook&GMail データアーカイブの作成とダウンロード手順


Facebookデータダウンロード手順 ※2019/5/8更新
【PC】
 @上部右端の▼(下三角)アイコンをクリック 
 A表示されたメニューから「設定」をクリック
 B左側サイドバーの「あなたのFacebook情報」をクリック
 C表示された一覧から「個人データをダウンロード」をクリック
 D作成するデータタイプ等を選択して「ファイルを作成」をクリック
 E処理待ちとなり、作成が完了すると「利用可能なファイル」に表示され、ダウンロードできる
【スマホアプリ】
 @上部右端の「三」アイコンをタップ
 A表示されたメニューから「設定」をタップ
 B下方スクロールして「個人データをダウンロード」をタップ
 D作成するデータタイプ等を選択して「ファイルを作成」をクリック
 E処理待ちとなり、作成が完了すると「利用可能なファイル」に表示され、ダウンロードできる

Gmailデータダウンロード手順(下記PDF参照)
Gmailデータダウンロード手順.pdf
posted by 貝貝 at 16:10| Comment(0) | TrackBack(0) | Internet | このブログの読者になる | 更新情報をチェックする

2019年04月16日

adbコマンドによるバックアップ及びAPKファイルの取得方法

☆ adb.exe は、Ver1.0.36を使用
  ※ 古いVersionにはバグがあり、backupが正常に動かないことがある

◎アプリのパッケージ名を検索(「File Commander」を検索する例)
-------
>adb shell pm list packages |findstr file
package:com.mobisystems.fileman
--------------------------------------

◎アプリ指定でADB Bacukupを取る(Xperia等、制限されている機種あり)
-------
>adb backup -apk com.mobisystems.fileman
※ バックアップファイルはデフォルトで「backup.ab」に作成される
ファイル名を変更する場合は -f オプションで指定
--------------------------------------

◎フルバックアップを取る
-------
>adb backup -all -apk
※ 共有ストレージ(画像等)のデータを含める場合は -shared オプションを指定
--------------------------------------

◎ログ検索(「backup」を含むログを検索する例)
-------
>adb shell logcat |findstr backup
--------------------------------------

◎APKファイルの抽出(/dataディレクトリのアクセス権がある機種)
-------
・パッケージのディレクトリ検索
>adb shell pm list packages -f |findstr file
package:/data/app/com.mobisystems.fileman-1/base.apk=com.mobisystems.fileman
・APKファイルの転送
>adb pull /data/app/com.mobisystems.fileman-1/base.apk
5015 KB/s (12665841 bytes in 2.466s)
--------------------------------------
※ アクセス権がない場合、-apkオプションでadb backupを取得し、Oxygen等のソフトで解凍してAPKファイルを取り出す

◎APKファイルのインストール
-------
>adb install ".\File Commander のAPK\base.apk"
3594 KB/s (12665841 bytes in 3.440s)
pkg: /data/local/tmp/base.apk
Success
※ SDメモリ経由で、端末のファイラーからインストールも可)
--------------------------------------

◎Android端末のコンソールモードでコマンド実行
-------
>adb shell -x
SOV31:/ $
--------------------------------------


【参考】OxygenでのAndroid Backup時に発行されるコマンド
"C:\Program Files (x86)\Oxygen Software\Oxygen Forensic Analyst\SystemFiles\Adb.exe" -s "BH9035W823" backup -all -apk -f "C:\Users\xxx\OxyForensic\Phones\359556060390299-16-04-2019 16-42-49\DeviceImage\adbbackup.ab"

posted by 貝貝 at 11:11| Comment(0) | スマートフォン | このブログの読者になる | 更新情報をチェックする

2018年11月15日

UFED: Physical Analyzerのドングルキーが認識しない場合の対処

ドングルキーを挿入すると、デバイスマネージャーで「HASP」デバイスに!マークがついてエラーになる場合

下記からHASPドライバをダウンロードして、インストールすることにより解消する

http://www.webtech.co.jp/support/download/Sentinel_LDK_Run-time_setup_20180406.zip
posted by 貝貝 at 14:08| Comment(0) | スマートフォン | このブログの読者になる | 更新情報をチェックする

2018年11月06日

Airdropで送受信したファイルの痕跡(iOS)

Airdropの受け入れ設定で「すべての人」となっている相手に、勝手に画像ファイルを送りつけるなどした場合
・各デバイス上において、Aidropの履歴の存在は確認できない
・送られた相手が、受け入れ確認画面で「辞退」を選択すると、画像ファイル自体も一切残らない
・画像ファイル以外で痕跡として認められるものとしては、各デバイスの
  /Private/var/mobile/Library/Preference/com.apple.MobileBluetooth.devices.plist
に、Bluetoothでペアリングした相手のBluetoothのMacアドレスが記録される場合がある(日時は記録なし)
・受信側が画像を保存した場合、以下の情報が残る
 Photos.sqlite
  ZGENERICASSETテーブル
   受け側
    ZADDDATE 保存日時
   送信側
    ZLASTSHAREDDATE 送信日時
  ZADDITIONALASSETATTRIBUTES
   受け側
    ZORIGINALFILENAME 送信側の画像ファイル名
posted by 貝貝 at 15:38| Comment(1) | スマートフォン | このブログの読者になる | 更新情報をチェックする

2018年10月12日

SQLインジェクションを受けた際のアクセスログのデコード(Python)

# coding: cp932
# for Python 2.x

import sys,io
import codecs
import urllib2

param = sys.argv
if (len(param) == 3):
 pass
else:
 print("(Usage) : SQLinjection_log_decode.py LogFileName OutputFileName(decoded)")
 print(" %URL DECODE & 0x DECODE")
 quit()

# 入出力ファイルのオープン
ifile = open(param[1], 'r')
ofile = codecs.open(param[2], 'w', 'utf-8')

# 1行読み込み
buf_line = ifile.readline()
icnt = 0

# --- Start of loop ---
while buf_line:
 # %エンコードされたテーブルの列名や、16進表記のASCII文字をデコード
 buf_line = buf_line.replace("0x","%")
 buf_line = urllib2.unquote(buf_line)
 # デコードしたログを1行出力
 ofile.write(buf_line.decode("utf-8"))
 icnt = icnt + 1
 if ((icnt % 50) == 0):
  print("--- processed " + str(icnt) + " lines \n")
 # 1行読み込み
 buf_line = ifile.readline()
# --- End of loop ---

# 入出力ファイルのクローズ
ifile.close
ofile.close
posted by 貝貝 at 14:12| Comment(0) | Internet | このブログの読者になる | 更新情報をチェックする

2018年10月10日

Linux 主要ディレクトリ一覧 for Forensics

/etc [%SystemRoot%/System32/config]
– Primary system configuration directory
– Separate configuration files/dirs for each app
/var/log [Windows event logs]
– Security logs, application logs, etc
– Logs normally kept for about 4-5 weeks
/home/$USER [%USERPROFILE%]
– User data and user configuration information

Basic System Profiling
Linux distro name/version number:
/etc/*-release
Installation date:
Look at dates on /etc/ssh/ssh_host_*_key files
Computer name:
/etc/hostname (also log entries under /var/log)
IP address(es):
/etc/hosts (static assignments)
/var/lib/dhclient, /var/log/* (DHCP)

Default Time Zone
• /etc/localtime stores default time zone data
• Binary file format:
– Use "zdump" on Linux
– Look for matching file under /usr/share/zoneinfo

User Accounts
• Basic user data in /etc/passwd
Any UID 0 account has admin privs
• MD5 password hashes in /etc/shadow
(brute force with "John the Ripper")
• /etc/sudoers may indicate users w/ admin privs
• Group memberships in /etc/group

User Login History
• /var/log/wtmp
– Shows user, source, time, and duration of login
– Need to use Linux "last" command to view
• Other logs that may contain useful data:
– /var/log/auth.log
– /var/log/secure
– /var/log/audit/audit.log

There's No Place Like $HOME
• /home/ is common convention
• Home dir for admin user is /root
• "Hidden" files/dirs have names starting w/ "."
– Contain app-specific configuration information
– Sometimes executed at login
– Possible back-door or persistence mechanism

Web Browser Artifacts
• Firefox and Chrome are common browsers
• File formats the same as Windows (SQLite DBs)
• Files under user home directories:
– Firefox: $HOME/.mozilla/firefox/*.default
– Chrome: $HOME/.config/chromium/Default

Command History
• $HOME/.bash_history
• Unfortunately not time-stamped by default
• Can be modified/removed by user
• Sudo history in:
– /var/log/auth.log
– /var/log/sudo.log

SSH
• Standard remote access/file xfer mechanism
• Useful files in $HOME/.ssh:
known_hosts – hosts user connected to from here
authorized_keys – public keys used for logins to here
id_rsa – private keys used to log in elsewhere

Persistence Mechanisms
• Service start-up scripts
/etc/inittab, /etc/init.d, /etc/rc.d (traditional)
/etc/init.conf, /etc/init (Upstart)
• Scheduled tasks ("cron jobs")
/etc/cron*
/var/spool/cron/*

Install/Uninstall
/var/log/dpkg.log

Nautilus
• Linux graphical file browser
• Like Windows Explorer
• Thumbnails: $HOME/.thumbnails
• Recent files: $HOME/.recently-used.xbel

Back Doors
• Deliberate malware/Trojan horse installs
• In /etc/passwd and /etc/shadow:
– Extra UID 0 accounts
– "Application" accounts with active passwords
• New $HOME/.ssh/authorized_keys entries
• Back doors via [x]inetd
/etc/inetd.conf
/etc/xinetd.conf, /etc/xinetd.d

Also Watch Out For…
• Rogue "set-UID" files
• Directories w/ names that start with "."
• Regular files under /dev directory
• Recently modified files
• Large files
posted by 貝貝 at 09:21| Comment(0) | Linux | このブログの読者になる | 更新情報をチェックする

Linux コマンド一覧 for Forensics

fdisk -l パーティションの確認 ハードディスクは /dev/sda /dev/sdb …
df 各パーティションのマウント状況
demsg デバイスドライバ関連のメッセージ表示 通常、grepやmoreと組み合わせる
ailias コマンドの別名を登録
basename パス名からファイル名を取り出す
cal カレンダーを表示する
cat ファイルの内容を表示する
cd カレント・ディレクトリの変更
chgrp ファイルやディレクトリの所属グループを変更
chmod ファイルやディレクトリのパーミッションを変更
chown ファイルやディレクトリの所有者を変更
clear 画面をクリアする
compress ファイルの圧縮/復元(*.Z)
cp ファイルやディレクトリをコピーする
crontab ジョブを自動実行する
cut 文字列を切り出す
date 現在の時刻を表示/設定する
df ディスク使用量を調べる@
diff ファイルの内容の違いを調べる
du ディスク使用量を調べるA
echo 文字列や変数の値を表示
exit ログアウトする
find ファイルの検索
ftp FTPでファイルを転送する
grep 文字列を検索する
groupadd グループを追加する
groupdel グループを削除する
groupmod グループの設定を変更
gunzip 圧縮ファイルの復元(*.gz)
gzip ファイルの圧縮/復元(*.gz)
head ファイルの先頭部分を表示する
history コマンドの履歴を表示
hostname 現在のホスト情報を表示
id ユーザー・グループIDを表示する
jobs バックグラウンドジョブを表示
kill プロセスまたはジョブを終了する
less ファイルの内容を1画面ごとに表示するA
ln ファイルやディレクトリにリンクを設定
ls ファイル・ディレクトリ情報を表示する
mail メールを送受信する
man コマンドのマニュアルを表示
mkdir ディレクトリを作成する
more ファイルの内容を1画面ごとに表示する@
mv ファイルの移動/ファイル名の変更
netstat 現在のネットワーク状況を表示
nohup ログアウト後もプログラムを実行する
passwd パスワードを変更する
ping ホストとの接続確認
ps 実行中のプロセスを表示
pwd カレント・ディレクトリの表示
rcp リモート・システム間でのファイルコピー
rm ファイルやディレクトリを削除する
rmdir ディレクトリを削除する
rsh リモート・マシンにコマンドを送る
sed 文字を変換する
shutdown システムを停止する
sleep 一定時間スリープする
sort ファイル行を並び替える
split ファイルを分割する
su 他のユーザーに切り替える
sync バッファの内容をディスクに書き込む
tail ファイルの末尾を表示する
tar アーカイブの作成/復元
telnet リモート・マシンにログインする
touch ファイルのタイムスタンプを更新
unalias コマンドの別名を解除
uncompress 圧縮ファイルの復元(*.Z)
unzip 圧縮ファイルの復元(*.zip)
useradd ユーザーを追加する
userdel ユーザーを削除する
usermod ユーザーの設定を変更
vi テキストファイルを編集する
wc テキストファイルの大きさを調べる
which コマンドのパスを表示
who ログインしているユーザーを調べる
zcat 圧縮ファイルの内容表示
zip ファイルの圧縮(*.zip)
posted by 貝貝 at 09:18| Comment(0) | Linux | このブログの読者になる | 更新情報をチェックする

2018年10月02日

Macのインターネット共有機能を利用したスマホの通信キャプチャ手順

1 有線LAN経由でインターネット接続されたMacを準備する。

2 Macのインターネット共有を有効にし、Wi-Fiアクセスポイント化
 @「システム環境設定」から「共有」をクリックします。
 A「インターネット共有」チェックボックスを選択します。
 B「共有する接続経路」ポップアップメニューをクリックして、「Wi-Fi」を選択します。
 C「インターネット共有」チェックボックスの選択を解除し、「Wi-Fi オプション」をクリック
 D ネットワークの名前(SSID)とパスワードを設定します。続いて、「インターネット共有」チェックボックスを再度選択します。

 ※ Macに外部ドライブを接続していると共有できない場合がある(原因不明)

3 スマホを上記SSIDに接続

4 MacでWiresharkを起動し、インターフェースWi-FIを選択してキャプチャ
posted by 貝貝 at 11:14| Comment(0) | Mac | このブログの読者になる | 更新情報をチェックする

2018年09月26日

アルファメール(大塚商会)のフォルダ一括エクスポート

@ Webメール画面から「ツール」を選択
A 「フォルダ管理」を選択
B フォルダ一覧で、フォルダ名の右の「エクスポート」をクリック
C 保存ボタンをクリックして、保存先を指定

※ MBOX形式で保存される
※ 全フォルダの一括エクスポートはできないので、フォルダ毎にエクスポートする

posted by 貝貝 at 10:21| Comment(0) | Internet | このブログの読者になる | 更新情報をチェックする