2018年05月17日

UFED抽出データをOxygen Forensicへインポート(iPhone)

iPhoneからUFED Ultimateで抽出したデータをOxygen Forensicへインポートする手順
(Softbank iPhone 5Cの例)

@ UFED抽出データのフォルダから「FileSystem 01\SoftBank_iPhone 5C.zip\iPhoneDump\Backup Service\」以下を解凍する
A OxygenでFile−import backup fileを実行し、「iTunes Backup」を選択し、上記フォルダから「Manifest.plist」を選択する
B iTunes Backupのパスワードを入力する
  ※ パスワードなしの場合でも、UFEDが自動的にパスワード「1234」を設定している場合がある(プライベートデータ抽出のため)
posted by 貝貝 at 10:51| Comment(0) | スマートフォン | このブログの読者になる | 更新情報をチェックする

2018年03月19日

スマホアプリの購入履歴(無料アプリ含む)

● iPhone
App Store や iTunes Store で購入履歴を確認する - Apple サポート.pdf

● Android
com.android.vending/db/localappstate.db の appstateテーブルにアプリ名と購入日が記録されている。(UFED Ultimateで自動解析可能)

(参考)Androidに関する他の方法Google Playで購入履歴を確認・削除する方法.pdf
 ※ Androidは有料版アプリしか表示されない。無料アプリはGoogle Playの「マイアプリ」・ESファイルエクスプローラで、最終アップデート日のみ参照可能
posted by 貝貝 at 09:34| Comment(0) | スマートフォン | このブログの読者になる | 更新情報をチェックする

2018年03月06日

Google Chrome Password Decryptor

添付ファイル参照

chrome_password_decrypt.py
posted by 貝貝 at 17:16| Comment(0) | Windows | このブログの読者になる | 更新情報をチェックする

2018年03月02日

バイナリ文字列をUTF-8でデコードするVBA関数

'==================================================
'UrlDecodeUtf8: バイナリ文字列をUTF-8でデコード
'==================================================
'strSource: 元の文字列(\xE3\x81\xE3\x92・・・)
'返り値: エンコードされた文字列
'==================================================
Public Function URLDecodeUTF8(strSource As String) As String
Dim objSC As Object

'元の文字列を、いったん%エンコード形式に変換
Dim ParcentEnc As String
ParcentEnc = Replace(strSource, "\x", "%")

Set objSC = CreateObject("ScriptControl")
objSC.Language = "Jscript"
URLDecodeUTF8 = objSC.CodeObject.decodeURIComponent(ParcentEnc)
Set objSC = Nothing

End Function
posted by 貝貝 at 13:07| Comment(0) | Internet | このブログの読者になる | 更新情報をチェックする

2018年02月08日

NEM 追跡モザイク

@ 1/26 AM 2:17 「みずなしりん」氏が追跡用モザイク「owner_of_this_account_is_hacker」(ネームスペース mizunashi.coincheck_stolen_funds_do_not_accept_trades)を作成

A 1/26 AM 2:23 「みずなしりん」氏が、犯人のアドレス「NC4C6PSUW5CLTDT5SXAGJDQJGZNESKFK5MCN77OG」へ追跡用モザイクを送信

B 1/26 AM 2:43 - 3:50 「みずなしりん」氏が、犯人の二次送金先の9アドレスへ追跡用モザイクを送信
     NDODXOWEIZGJSMAEURXACF4IEHC2CB7Q6T56V7SQ
     NBKLQYXEIVEEGARYPUM62UJIFHA3Y6R4LAPU6NP4
     NDZZJBH6JZPYSWRPRYHALLWMITWHOYTQGXR53HAW
     NDDZVF32WB3LWRNG3IVGHCOCAZWENCNRGEZJVCJI
     NB4QJJCLTZWVFWRFBKEMFOONOZFDH3V5IDK3G524
     NCF6IA5ZNKIUXE3COV7WK23EIOBEPDV5DJFZQTTH
     NA6JSWNF24Y7DVIUVPKRNAY7TPOFJJ7G2URL7KU5
     NA7SZ75KF6ZKK267TRKCJDJBWP5JKIC2HA5PXCKW
     NCTWFIOOVITRZYSYIGQ3PEI3IMVB25KMED53EWFQ

【監視追跡方法】
NEMのモザイクは、強制的に送信することが可能で、しかも設定により受け取ったアカウントからの返送や別アカウントへの転送を不可能にすることができるため、送信先のアカウントに永久に残すことができる。
ただし、追跡対象アカウントが保有するNEMを別アカウントに送っても、モザイクは自動的に送金先へ送られるわけではない。
よって、bot等によってブロックチェーンの新たなトランザクションを監視し、追跡対象アカウントから送金された別アカウントを発見する都度モザイクを自動送信することにより、盗まれたNEMが転送されたアカウント全てにタグを付けていく。

また、モザイクを送信する際の手数料として別モザイクによる支払いを設定することができる。
この機能を利用し、追跡者のみが保有する別モザイクを手数料に設定して、犯人は送られた追跡モザイクを転送することができなくするとともに、誤って追跡モザイクを送ってしまった相手には手数料分の別モザイクを送信し、追跡モザイクを返送可能にすることもできる。
(「みずなしりん」氏の追跡モザイクは転送・返送が一切不可能な設定)


(追跡モザイクCreate時のトランザクション表示画像)

NEM犯人にタグ付けしたモザイク(「みずなしりん」がCreate).png

NEM追跡モザイク.png
posted by 貝貝 at 13:29| Comment(0) | Internet | このブログの読者になる | 更新情報をチェックする

2018年01月29日

EnCase V7 Shift-JISテキストの表示

Codepageになぜか「Shift-JIS」(CP932)がないため、「Japanese(MAC)」(10001)を選択して日本語表示する
posted by 貝貝 at 17:03| Comment(0) | EnCase | このブログの読者になる | 更新情報をチェックする

BITLOCKER関連まとめ

〇 利用可能なOS・エディション
フル機能サポート(BitLockerボリュームの作成/管理、GUI・CUIでの管理)
 ・Windows 7 Ultimate/Enterprise
 ・Windows 8/8.1/10 Pro/Enterprise
 ・Windows Server 2008〜2016
読み書きのみ(ロック解除と読み書き、manage-bde.exe等のCUIでの管理)
 ・Windows 7 Home Basic/Home Premium/Professional
 ・Windows 8/8.1(無印エディション)
 ・Windows 10 Home
読み出しのみ(「Bit Locker To Goリーダー」ツールによる読み出し)
 ・Windows XP
 ・Windows Vista Home Basic/Home Premium

〇 リムーバルメディア(Bitlocker To Go)やCドライブ以外の内蔵HDDの暗号化機能
・ エクスプローラ上でドライブ名を右クリックして[BitLockerで有効にする]を選択するか、コントロールパネルの[システムとセキュリティ]−[BitLockerドライブ暗号化]ツールで対象ドライブの[BitLockerで保護する]を実行し、解除パスワードを指定する
・ パスワードがわからなくなった等、非常時用の回復キー(48桁)が生成され、データとして保存するか、紙に印刷するかを選択できる。Microsoftアカウントのクラウドに保存することも可能。
・ 接続時に解除パスワードを入力することにより利用可能になる
・ 利用パソコンに接続すると、自動ロック解除する設定も可能

〇 内蔵HDDのOSドライブ(Cドライブ)の暗号化機能
・ 設定方法は上記と同じ
・ 暗号化キーはパソコンのTPMチップに保存され、起動時に自動ロック解除される
・ 取り外して、リムーバルドライブとして接続した場合は上記と同じ

〇 回復キーによる復号方法
・ パスワード入力ウィンドウで「その他オプション」−「回復キーの入力」を選択する
・ 回復キーはコピー&ペーストすることが可能

〇 回復キーの取得
・ ロック解除状態であれば、パスワードの入力等なしに回復キーの再保存や再印刷が可能
・ 管理者権限のコマンドラインから、次のコマンドで表示することもできる
   manage-bde -protectors -get C:  (※ -getの後方は対象ドライブレター)

〇 フォレンジックツールによる対応
・ EnCase Forensicでは、自動的にBITLOCKER暗号化メディアを検知し、回復キーの入力を要求する
・ X-WaysにはBITLOCKER解除機能はない

〇 BITLOCKERの無効化
・ ロック解除状態であれば、BITLOCKERを無効にして非暗号化メディアに復元することが可能
・ 無効化には相当の時間がかかる。過去の事例では、500GBのHDDで約4時間
posted by 貝貝 at 16:22| Comment(0) | Windows | このブログの読者になる | 更新情報をチェックする

2018年01月16日

UFEDによる iTunes Backup の暗号化解除

@ UFED ULTIMATEのトップメニューから、画面右上の「ツール」をタップし、iPhoneを接続
A 「Disable iTunes encryption password」をタップ
B 解除成功後、通常通りデータ抽出を行う
  ※ 成功する確率は高くない
UFED1.jpg@
UFED2.jpgA
posted by 貝貝 at 15:32| Comment(0) | スマートフォン | このブログの読者になる | 更新情報をチェックする

2018年01月01日

URLデコード&BASE64デコード

ブラウザで完結! 文字列操作スクリプト version 1.0

URL(%)
BASE64
HEX

デコード
エンコード


posted by 貝貝 at 08:10| Comment(0) | Internet | このブログの読者になる | 更新情報をチェックする

2017年11月22日

Webメールヘッダ検証

【Yahooメール】
 〇 Web上のYahooメールから送信した場合 送信元表示される
   Received: from [21x.148.xx.x] by web101415.mail.kks.yahoo.co.jp via HTTP;
    Fri, 24 Nov 2017 13:04:41 JST
   X-Mailer: YahooMailWebService/0.8.111_74
 〇 PCのメールソフトから送信した場合 送信元表示される
   Received: from unknown (HELO ?192.168.254.18?) (21x.148.xx.x with plain)
    by smtp523.mail.kks.yahoo.co.jp with SMTP; 22 Nov 2017 07:49:35 -0000
 〇 Android Yahooメールアプリから送信した場合 送信元表示される
   Received: from [21x.148.xx.x] by web101710.mail.ssk.yahoo.co.jp via HTTP;
   Wed, 22 Nov 2017 17:08:06 JST
   X-Mailer: YahooMailWebService/0.8.111_74
 〇 iPhone Yahooメールアプリから送信した場合 送信元表示される
   Received: from [21x.148.xx.x] by web101711.mail.ssk.yahoo.co.jp via HTTP;
    Fri, 24 Nov 2017 11:41:39 JST
   X-Mailer: YahooMailWebService/0.8.111_74
 〇 iPhone 標準メールアプリからYahooアカウントで送信した場合 送信元表示される
   Received: from unknown (HELO ?192.168.254.9?) (21x.148.xx.x with plain)
    by applesmtp533.mail.kks.yahoo.co.jp with SMTP; 24 Nov 2017 02:10:29 -0000

【Gmail】
 × Web上のGmailから送信した場合 送信元表示されない
   X-Received: by 10.223.129.35 with SMTP id 32mr21383618wrm.271.1511496166871;
    Thu, 23 Nov 2017 20:02:46 -0800 (PST)
    MIME-Version: 1.0
   Received: by 10.28.108.6 with HTTP; Thu, 23 Nov 2017 20:02:46 -0800 (PST)
 〇 Google apps(法人用アカウント)からGmail送信した場合 送信元表示される
   X-Originating-IP ヘッダに送信元IPアドレスが表示される
   (一般用のGmailでは、Google社のIPアドレスになる)
 〇 PCのメールソフトから送信した場合 送信元表示される
   Received: from [192.168.254.18] (x.xx.148.21x.bf.2iij.net. [21x.148.xx.x])
    by smtp.gmail.com with ESMTPSA id z19sm5604614iof.53.2017.11.21.23.56.48
    for (version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
    Tue, 21 Nov 2017 23:56:49 -0800 (PST)
 × Android Gmailアプリから送信した場合 送信元表示されない
   X-Received: by 10.25.31.198 with SMTP id f189mr5785567lff.1.1511338003138;
   Wed, 22 Nov 2017 00:06:43 -0800 (PST)
   MIME-Version: 1.0
   Received: by 10.46.68.140 with HTTP; Wed, 22 Nov 2017 00:06:42 -0800 (PST)
   Received: by 10.46.68.140 with HTTP; Wed, 22 Nov 2017 00:06:42 -0800 (PST)
 × iPhone Gmailアプリから送信した場合 送信元表示されない
   X-Received: by 10.28.107.16 with SMTP id g16mr8448992wmc.36.1511490821129;
    Thu, 23 Nov 2017 18:33:41 -0800 (PST)
 〇 iPhone 標準メールアプリからGmailアカウントで送信した場合 送信元表示される
   X-Received: by 10.84.235.201 with SMTP id m9mr13912886plt.30.1511488907411;
    Thu, 23 Nov 2017 18:01:47 -0800 (PST)
   Received: from [192.168.254.9] (x.xx.148.21x.bf.2iij.net. [21x.148.xx.x])
    by smtp.gmail.com with ESMTPSA id n65sm9723158pfa.83.2017.11.23.18.01.46
    for (version=TLS1 cipher=ECDHE-RSA-AES128-SHA bits=128/128);
    Thu, 23 Nov 2017 18:01:46 -0800 (PST)
posted by 貝貝 at 17:21| Comment(0) | Internet | このブログの読者になる | 更新情報をチェックする