2019年08月20日

Windows10起動用USBメモリの作成ログ(Windows To Go非対応)

@ USBメモリ(64GB)をNTFSでフォーマット(Hドライブ)

A Windows AIKをインストール

B Windows10 EnterpriseのISOイメージをマウント(Gドライブ)

C AIKのIMAGEX.exeで、OSイメージをUSBメモリに展開
  >c:\Program Files\Windows AIK\Tools\x86>imagex.exe /apply G:\sources\install.wim 1 h:\

   ImageX Tool for Windows
   Copyright (C) Microsoft Corp. All rights reserved.
   Version: 6.1.7600.16385


   [ 100% ] Applying progress

   Successfully applied image.

   Total elapsed time: 462 min 9 sec

D ブートファイル作成
  >c:\Program Files\Windows AIK\Tools\x86>bcdboot.exe h:\windows /s h: /l ja-jp
   Boot files successfully created.
posted by 貝貝 at 17:40| Comment(0) | Windows | このブログの読者になる | 更新情報をチェックする

2019年07月26日

WinPEによる保全手順例

@ WinPE用USBメモリを挿入して、F12またはF9(HP)でBOOTメニュー、またはF2等でBIOSメニュー(NEC、Panasonic)を表示し、USBメモリからブート
A 保全イメージ出力先のHDD(NTFSで初期化しておく)を以下の手順でマウントする
 1)diskpart
 2)list volume
 3)表示されたVolume一覧で出力先HDDの番号を確認して
   Select volume 番号
 4)assign letter=F(ドライブレターを適宜指定)
B コマンドプロンプトから次のコマンドでエクスプローラーを起動
   X:\Program Files(x86)\explorer.exe
C EnCase Forensic Imager (X:\Program Files(x86)フォルダから)を起動
D Add Local Deviceで、保全対象の内蔵HDDを選択
E 追加したHDDをダブルクリックで展開後、右クリックから「aquire」を選択してイメージ作成

※ WinPEのコマンドプロンプトは英語キーボード対応なので、次のキーを使用
アスタリスク(*) ➡ )
バックスラッシュ(\) ➡ ]
セミコロン(:) ➡  +
ダブルコーテーション(”)➡ *
イコール(=) ➡ ^
posted by 貝貝 at 11:09| Comment(0) | Windows | このブログの読者になる | 更新情報をチェックする

Windows To Go 起動ディスク作成手順

@ Windows10 EnterpriseのDVDを挿入、またはISOイメージをマウント
Aコントロールパネルから「Windows To Go」を検索して実行
BWindows To Go起動の作成先ドライブを指定
CWindows10 Enterpriseのマウントドライブを指定
D作成開始
posted by 貝貝 at 10:52| Comment(0) | Windows | このブログの読者になる | 更新情報をチェックする

2019年05月08日

Facbook&GMail データアーカイブの作成とダウンロード手順


Facebookデータダウンロード手順 ※2019/5/8更新
【PC】
 @上部右端の▼(下三角)アイコンをクリック 
 A表示されたメニューから「設定」をクリック
 B左側サイドバーの「あなたのFacebook情報」をクリック
 C表示された一覧から「個人データをダウンロード」をクリック
 D作成するデータタイプ等を選択して「ファイルを作成」をクリック
 E処理待ちとなり、作成が完了すると「利用可能なファイル」に表示され、ダウンロードできる
【スマホアプリ】
 @上部右端の「三」アイコンをタップ
 A表示されたメニューから「設定」をタップ
 B下方スクロールして「個人データをダウンロード」をタップ
 D作成するデータタイプ等を選択して「ファイルを作成」をクリック
 E処理待ちとなり、作成が完了すると「利用可能なファイル」に表示され、ダウンロードできる

Gmailデータダウンロード手順(下記PDF参照)
Gmailデータダウンロード手順.pdf
posted by 貝貝 at 16:10| Comment(0) | TrackBack(0) | Internet | このブログの読者になる | 更新情報をチェックする

2019年04月16日

adbコマンドによるバックアップ及びAPKファイルの取得方法

☆ adb.exe は、Ver1.0.36を使用
  ※ 古いVersionにはバグがあり、backupが正常に動かないことがある

◎アプリのパッケージ名を検索(「File Commander」を検索する例)
-------
>adb shell pm list packages |findstr file
package:com.mobisystems.fileman
--------------------------------------

◎アプリ指定でADB Bacukupを取る(Xperia等、制限されている機種あり)
-------
>adb backup -apk com.mobisystems.fileman
※ バックアップファイルはデフォルトで「backup.ab」に作成される
ファイル名を変更する場合は -f オプションで指定
--------------------------------------

◎フルバックアップを取る
-------
>adb backup -all -apk
※ 共有ストレージ(画像等)のデータを含める場合は -shared オプションを指定
--------------------------------------

◎ログ検索(「backup」を含むログを検索する例)
-------
>adb shell logcat |findstr backup
--------------------------------------

◎APKファイルの抽出(/dataディレクトリのアクセス権がある機種)
-------
・パッケージのディレクトリ検索
>adb shell pm list packages -f |findstr file
package:/data/app/com.mobisystems.fileman-1/base.apk=com.mobisystems.fileman
・APKファイルの転送
>adb pull /data/app/com.mobisystems.fileman-1/base.apk
5015 KB/s (12665841 bytes in 2.466s)
--------------------------------------
※ アクセス権がない場合、-apkオプションでadb backupを取得し、Oxygen等のソフトで解凍してAPKファイルを取り出す

◎APKファイルのインストール
-------
>adb install ".\File Commander のAPK\base.apk"
3594 KB/s (12665841 bytes in 3.440s)
pkg: /data/local/tmp/base.apk
Success
※ SDメモリ経由で、端末のファイラーからインストールも可)
--------------------------------------

◎Android端末のコンソールモードでコマンド実行
-------
>adb shell -x
SOV31:/ $
--------------------------------------


【参考】OxygenでのAndroid Backup時に発行されるコマンド
"C:\Program Files (x86)\Oxygen Software\Oxygen Forensic Analyst\SystemFiles\Adb.exe" -s "BH9035W823" backup -all -apk -f "C:\Users\xxx\OxyForensic\Phones\359556060390299-16-04-2019 16-42-49\DeviceImage\adbbackup.ab"

posted by 貝貝 at 11:11| Comment(0) | スマートフォン | このブログの読者になる | 更新情報をチェックする

2018年11月15日

UFED: Physical Analyzerのドングルキーが認識しない場合の対処

ドングルキーを挿入すると、デバイスマネージャーで「HASP」デバイスに!マークがついてエラーになる場合

下記からHASPドライバをダウンロードして、インストールすることにより解消する

http://www.webtech.co.jp/support/download/Sentinel_LDK_Run-time_setup_20180406.zip
posted by 貝貝 at 14:08| Comment(0) | スマートフォン | このブログの読者になる | 更新情報をチェックする

2018年11月06日

Airdropで送受信したファイルの痕跡(iOS)

Airdropの受け入れ設定で「すべての人」となっている相手に、勝手に画像ファイルを送りつけるなどした場合
・各デバイス上において、Aidropの履歴の存在は確認できない
・送られた相手が、受け入れ確認画面で「辞退」を選択すると、画像ファイル自体も一切残らない
・画像ファイル以外で痕跡として認められるものとしては、各デバイスの
  /Private/var/mobile/Library/Preference/com.apple.MobileBluetooth.devices.plist
に、Bluetoothでペアリングした相手のBluetoothのMacアドレスが記録される場合がある(日時は記録なし)
・受信側が画像を保存した場合、以下の情報が残る
 Photos.sqlite
  ZGENERICASSETテーブル
   受け側
    ZADDDATE 保存日時
   送信側
    ZLASTSHAREDDATE 送信日時
  ZADDITIONALASSETATTRIBUTES
   受け側
    ZORIGINALFILENAME 送信側の画像ファイル名
posted by 貝貝 at 15:38| Comment(1) | スマートフォン | このブログの読者になる | 更新情報をチェックする

2018年10月12日

SQLインジェクションを受けた際のアクセスログのデコード(Python)

# coding: cp932
# for Python 2.x

import sys,io
import codecs
import urllib2

param = sys.argv
if (len(param) == 3):
 pass
else:
 print("(Usage) : SQLinjection_log_decode.py LogFileName OutputFileName(decoded)")
 print(" %URL DECODE & 0x DECODE")
 quit()

# 入出力ファイルのオープン
ifile = open(param[1], 'r')
ofile = codecs.open(param[2], 'w', 'utf-8')

# 1行読み込み
buf_line = ifile.readline()
icnt = 0

# --- Start of loop ---
while buf_line:
 # %エンコードされたテーブルの列名や、16進表記のASCII文字をデコード
 buf_line = buf_line.replace("0x","%")
 buf_line = urllib2.unquote(buf_line)
 # デコードしたログを1行出力
 ofile.write(buf_line.decode("utf-8"))
 icnt = icnt + 1
 if ((icnt % 50) == 0):
  print("--- processed " + str(icnt) + " lines \n")
 # 1行読み込み
 buf_line = ifile.readline()
# --- End of loop ---

# 入出力ファイルのクローズ
ifile.close
ofile.close
posted by 貝貝 at 14:12| Comment(0) | Internet | このブログの読者になる | 更新情報をチェックする

2018年10月10日

Linux 主要ディレクトリ一覧 for Forensics

/etc [%SystemRoot%/System32/config]
– Primary system configuration directory
– Separate configuration files/dirs for each app
/var/log [Windows event logs]
– Security logs, application logs, etc
– Logs normally kept for about 4-5 weeks
/home/$USER [%USERPROFILE%]
– User data and user configuration information

Basic System Profiling
Linux distro name/version number:
/etc/*-release
Installation date:
Look at dates on /etc/ssh/ssh_host_*_key files
Computer name:
/etc/hostname (also log entries under /var/log)
IP address(es):
/etc/hosts (static assignments)
/var/lib/dhclient, /var/log/* (DHCP)

Default Time Zone
• /etc/localtime stores default time zone data
• Binary file format:
– Use "zdump" on Linux
– Look for matching file under /usr/share/zoneinfo

User Accounts
• Basic user data in /etc/passwd
Any UID 0 account has admin privs
• MD5 password hashes in /etc/shadow
(brute force with "John the Ripper")
• /etc/sudoers may indicate users w/ admin privs
• Group memberships in /etc/group

User Login History
• /var/log/wtmp
– Shows user, source, time, and duration of login
– Need to use Linux "last" command to view
• Other logs that may contain useful data:
– /var/log/auth.log
– /var/log/secure
– /var/log/audit/audit.log

There's No Place Like $HOME
• /home/ is common convention
• Home dir for admin user is /root
• "Hidden" files/dirs have names starting w/ "."
– Contain app-specific configuration information
– Sometimes executed at login
– Possible back-door or persistence mechanism

Web Browser Artifacts
• Firefox and Chrome are common browsers
• File formats the same as Windows (SQLite DBs)
• Files under user home directories:
– Firefox: $HOME/.mozilla/firefox/*.default
– Chrome: $HOME/.config/chromium/Default

Command History
• $HOME/.bash_history
• Unfortunately not time-stamped by default
• Can be modified/removed by user
• Sudo history in:
– /var/log/auth.log
– /var/log/sudo.log

SSH
• Standard remote access/file xfer mechanism
• Useful files in $HOME/.ssh:
known_hosts – hosts user connected to from here
authorized_keys – public keys used for logins to here
id_rsa – private keys used to log in elsewhere

Persistence Mechanisms
• Service start-up scripts
/etc/inittab, /etc/init.d, /etc/rc.d (traditional)
/etc/init.conf, /etc/init (Upstart)
• Scheduled tasks ("cron jobs")
/etc/cron*
/var/spool/cron/*

Install/Uninstall
/var/log/dpkg.log

Nautilus
• Linux graphical file browser
• Like Windows Explorer
• Thumbnails: $HOME/.thumbnails
• Recent files: $HOME/.recently-used.xbel

Back Doors
• Deliberate malware/Trojan horse installs
• In /etc/passwd and /etc/shadow:
– Extra UID 0 accounts
– "Application" accounts with active passwords
• New $HOME/.ssh/authorized_keys entries
• Back doors via [x]inetd
/etc/inetd.conf
/etc/xinetd.conf, /etc/xinetd.d

Also Watch Out For…
• Rogue "set-UID" files
• Directories w/ names that start with "."
• Regular files under /dev directory
• Recently modified files
• Large files
posted by 貝貝 at 09:21| Comment(0) | Linux | このブログの読者になる | 更新情報をチェックする