Transcript 揮発性情報 - Port139

揮発性情報
2003/05/25
伊原 秀明(Port139)
揮発性情報とは
• 時間の経過と共に失われる情報
（消えやすく復元が難しい）
• 電源断により失われる情報
• システムが稼働中にのみ取得可能な情報
• 操作により変化する情報
（タイムスタンプ,削除ファイルなど）
• 状態情報（通信状態など）
© Hideaki Ihara(Port139).
2
揮発性の順序
• RFC 3227 『証拠収集とアーカイビングのため
のガイドライン』 にて定義されている
http://www.ipa.go.jp/security/rfc/RFC3227JA.html
揮発性が高い
揮発性が低い
1. レジスタ、キャッシュ
2. ルーティングテーブル、arp キャッシュ、プロセステー
ブル、カーネル統計、メモリ
3. テンポラリファイルシステム
4. ディスク
5. 当該システムと関連する遠隔ロギングと監視データ
6. 物理的設定、ネットワークトポロジ
7. アーカイブ用メディア
※RFC3227JAより引用
© Hideaki Ihara(Port139).
3
揮発性情報の確認
• 揮発性情報は、時間の経過と共に変化する,
まずは保全し内容確認は後から行うこと
• 揮発性情報は、操作の影響を受けやすいの
で不要な操作は行わないこと
• 揮発性情報の多くは、システムへログオンし
て確認する必要がある
（ログオン時にはトラップの存在を考慮）
© Hideaki Ihara(Port139).
4
揮発性情報の保全(1)
• 揮発性の順序に従い、揮発性が高い、重要
な情報から迅速に保全する
• 揮発性情報へ影響を与える操作はしないこと
（影響を考慮し,事前に手順を決めておく）
• 手順を誤ると、必要な情報が得られない可能
性がある
• 例）ネットワークケーブルを抜いてから
IPCONFIGコマンドを実行しても意味が無い
© Hideaki Ihara(Port139).
5
揮発性情報の保全(2)
• 揮発性情報を取得するコマンドは安全性を確
認したものを利用すること
例：CD-ROMに焼いたプログラム
• コマンドを手動で入力すると、時間の経過やミ
スを引き起こす可能性がある（引数不足など）
• なるべく自動的に取得できるようにしておく
（あまり複雑なスクリプトにしないこと）
© Hideaki Ihara(Port139).
6
揮発性情報の保存先
• 取得した情報は専用の領域へ保存
削除されたファイルやデータが失われること
がないように、専用領域へ保存する
• ローカルに保存領域が確保できない場合に
はネットワーク経由で出力する
（Netcatを利用）
© Hideaki Ihara(Port139).
7
揮発性情報の必要性？
• 揮発性情報は時間の経過により変化するた
め保全作業が行われた時点で必要な情報が
取得できる可能性は低い
• 揮発性情報の取得操作が、より重要な証拠と
なるデータを消す可能性もある
© Hideaki Ihara(Port139).
8
コマンド例
• Windows環境における代表的な揮発性情報
を確認・保存するためのコマンド（赤字部分）
• 必要に応じてコマンドの追加・変更を
• 実行するコマンドの影響を考慮すること
• プログラムは安全なものを利用すること
• これらのコマンド結果が、常に証拠となる情
報を含むわけではない
© Hideaki Ihara(Port139).
9
ARPテーブルの保存
• ARPテーブルの表示コマンド
arp –a
Interface: 192.168.0.10 --- 0x4
Internet Address
Physical Address
192.168.0.1
00-90-cc-4a-87-0c
192.168.0.110
00-d0-b7-8f-12-7d
© Hideaki Ihara(Port139).
Type
dynamic
dynamic
10
DNSキャッシュの保存
• DNSキャッシュ情報の表示
ipconfig /displaydns
Windows IP Configuration
1.0.0.127.in-addr.arpa
---------------------------------------Record Name . . . . . : 1.0.0.127.in-addr.arpa.
Record Type . . . . . : 12
Time To Live . . . . : 567799
Data Length . . . . . : 4
Section . . . . . . . : Answer
PTR Record . . . . . : localhost
© Hideaki Ihara(Port139).
11
ネットワーク情報の保存
• TCP/IP接続情報
netstat –an
※XP以降では-oオプションも指定※
• ルーティングテーブルの表示
netstat –r
または
route print
• プロトコル統計情報の表示
netstat -s
© Hideaki Ihara(Port139).
12
NetBIOS over TCP/IP情報の保存
• NBT‘s キャッシュの表示
nbtstat –c
• セッションテーブルの表示
nbtstat –s, nbtstat –S
(小文字はコンピュータ名,大文字はIPアドレ
ス)
• ローカルNetBIOS名の確認
nbtstat -n
© Hideaki Ihara(Port139).
13
NET コマンド情報の保存
• セッションの一覧表示
net session
• 開かれているファイルの一覧表示
net file
• 統計情報
net statistics server
net statistics workstation
• 共有の一覧表示
net share, net view
• 構成情報の一覧表示
net config server, net config workstation
• ユーザー,グループ, アカウント情報の一覧表示
net user, net localgroup, net accounts
© Hideaki Ihara(Port139).
14
Netdiag コマンド情報の保存
• 診断情報の保存
netdiag /v /debug
• 『NetDiag.log』がカレントディレクトリに自動的
に作成され書き込まれる点に注意すること
• DHCP, WINS への問い合わせが発生
（通信のログが発生する）
© Hideaki Ihara(Port139).
15
システム情報の保存
• 『winmsd（msinfo32.exe）』コマンドを利用して
システム情報を一括して保存する
winmsd /report ファイル名
または
msinfo32 /report ファイル名
• reportオプションにより、システム情報がテキ
ストファイルとして保存される
© Hideaki Ihara(Port139).
16
プロセス実行権限の保存
• プロセスの実行権限を保存
(Winmsdでは権限が保存されない)
• PULIST.EXE（リソースキット）を利用
© Hideaki Ihara(Port139).
17
オープンファイルの保存
• オープン中ファイル,レジストリの保存
-net files(共有リソースのみ)
-openfilesコマンドの利用(XP以降）
事前にフラグを有効にしておく必要がある
• Handle
http://www.sysinternals.com/ntw2k/freewar
e/handle.shtml
© Hideaki Ihara(Port139).
18
DLL情報の保存
• 実行中プロセスがロードしているDLL情報を
保存
• ListDlls
http://www.sysinternals.com/ntw2k/freewar
e/listdlls.shtml
© Hideaki Ihara(Port139).
19
ポート利用状況の保存
• ポートを利用中のプロセス情報を保存
• CUIで利用可能なツール
Fport.exe
http://www.foundstone.com/resources/proddesc/f
port.htm
• GUIで利用可能なツール
Active Ports
http://www.ntutility.com/freeware.html
TCPView
http://www.sysinternals.com/
※Windows XP 以降であれば netstat コマンドのオプション-b、-oで確認が可能
© Hideaki Ihara(Port139).
20