問題タブ [computer-forensics]

カスタム開発したASP.NETサイトの 1 つが今日ハッキングされました。私は Ajax を使用しておらず、データベースに接続しているすべての場所でストアド プロシージャを使用していると思うので、SQL インジェクションではないと思います。フォルダーの書き込み権限を削除しました。

彼らがサイトをハッキングするために何をしたか、またハッキン​​グの再発を防ぐにはどうすればよいかを知るにはどうすればよいですか?

サーバーはすべての Windows アップデートで最新です。

彼らが行ったことは、6 つのファイル (index.asp、index.html、index.htm、...) を Web サイトのメイン ディレクトリにアップロードすることです。

どのログ ファイルをアップロードする必要がありますか? このフォルダから IIS のログ ファイルがあります: c:\winnt\system32\LogFiles\W3SVC1. 何人かに見せたいとは思いますが、インターネットに投稿するのは良くないと思います. 見てみたい人いますか？

すでに Google で検索しましたが、他にハッキングされたサイトしか見つかりませんでした。それについての議論は見当たりませんでした。

これがプログラミングと厳密に関連しているわけではないことはわかっていますが、これは依然としてプログラマーにとって重要なことであり、多くのプログラマーがこのようにハッキングされています。

キープアライブ HTTP 会話のある種のダンプ、つまり複数の GET 要求とヘッダーを含む応答、HTML ページといくつかの画像を含むと思われるファイルがあります。ただし、その間にいくつかのバイナリジャンクがあります-おそらくそれはTCPまたはIPレベルのダンプです(それが何であるかを判断する方法がわかりません)。

基本的に、転送されたファイルを抽出する必要があります。これに使用できる無料のツールはありますか?

アプリケーションがどのプログラミング言語で書かれたかを調べる最も簡単な方法は何ですか? プログラムのexeファイルからvbかc ++かdelphiか.netかなどを知りたいです。

dbテーブルから消去したすべてのデータがハードディスク上のmdbファイル（およびその他）に保存されていないことを確認するにはどうすればよいですか？

私の状況は次のとおりです。
私のクライアントは、暗号化されていないクレジットカードデータをデータベース（SQL Server）に保存していました。PCI要件のおかげで、それらはすべてのデータを暗号化するようになりました...ただし、mdbファイルにはまだ暗号化されていない古いCCの一部が書き込まれています。
データベースにCCがもうないことを確認しました。データベースを圧縮しました。それをファイルにバックアップし、新しいデータベースに新たに復元しました。sp_cleandbも実行しました。
それでもなお、ディスク上の永続化されたファイルを分析すると、暗号化されていないCCがいくつか見つかります。これらは、DBに保存されておらず、SP、ビュー、またはUDFの一部ではなく、表示されません。任意のテーブルメタデータ。

それで、私の質問-すべての「悪い」CCデータが確実になくなるようにするにはどうすればよいですか？または、より一般的には、MSSQLに現在のデータのみを保存させ、「ゴミ」からファイルをクリーンアップするにはどうすればよいですか？

デジタル フォレンジック環境で Java (c/c++ と同様) を使用した経験のある人がいる場合、遭遇した可能性のある問題や利点についてアドバイスしてもらえますか? 乾杯

はい、これは宿題のような質問ですが、手伝ってくれませんか。

Morris Internet Wormのトピックに関する非常に短いプレゼンテーションで、ワームの拡散を阻止するために実行された手順をリストすることになっています。私のppスライドは現在最終状態に近づいていますが、これまたはそれがワームを阻止した方法であると言う前に、確認したいと思います。ワームがニュースに大ヒットし、当時アメリカでかなりの騒ぎを引き起こしたと聞いたので、コンピューティングの分野から情報を提供してくれる人を何人か見つけたいと思っていました。

基本的に、さまざまなレポートや記事で、ワームの主な弱点はpleasequit適切に初期化されていない変数であることがわかりました。したがって、ワームを停止するには、この変数を-1に設定するだけで十分でした。これはワームの最後の打撃でしたか？これは事実上それが広がるのを止めたのですか？

私は次のレポートを見つけました、そして他の人はpleasequit varに言及します:(このウェブサイトから取られました）：

ワームは「pleasequit」という変数を使用しますが、正しく初期化されないため、次の場所から生成される_worm.oというモジュールをCライブラリに追加しました。

この値が-1に設定されているという事実により、1回の反復後に終了します。

最近の問題*により、ファイルのすべての文字が見えなくても表示できるテキストエディタがあるかどうか疑問に思いました。具体的には、16進編集機能を探しているのではなく、すべての非表示文字（一般的な空白/改行文字だけでなく）を表示するテキストエディターに興味があります。BOMマーカーは単なる一例であり、他のマーカーは、数学的に見えない文字やサポートされていない可能性のある文字などです。

多種多様なテキストエンコーディング/エンコーディング間の翻訳を単にサポートするテキストエディタを探していません。私が遭遇したすべてのテキストエディタは、非表示の文字を正しく処理します。つまり、非表示のままにします（または、BOMマーカーの場合のように翻訳で削除されます）。

私はこれを主に学術的な興味から求めているので、特定のOSについては特に気にしません。LinuxおよびOSXソリューションは簡単にテストできますが、Windowsエディターをお勧めする場合は、エディターが空白/改行以外の非表示を処理する方法の説明を含めていただければ幸いです。

編集：私が望む振る舞いは、カスタムハイライトを介して、またはフォント自体をいじることによって、emacs/vimに実装できることを確認し始めています。このタイプのソリューションも受け入れられます。

EDIT2：いくつかのオプションを調べた後、ファイル内の非表示のUTF-8文字が含まれる空白スペースを少なくとも表示するTextMateを見つけました。私の質問に答えるSOの能力に少しがっかりしました。バウンティはVIMに行きます。それは、ソリューションが存在する可能性が最も高い方向だからです。

*この質問に私を導いた事件：私はTextWranglerを使用してperlスクリプトを作成し、ファイルの先頭にBOMマーカーを挿入するUTF8BOMにエンコードを変更することに成功しました。Perl（またはオペレーティングシステム）はすぐに＃を見逃します！そして騒乱が続く。さまざまな「非表示を表示」オプションがオンになっている場合でも、ほとんどのテキストエディタはBOMマーカーを表示しないため、これを理解するのに午後の大部分を要しました。今、私は私のレッスンを学び、lessすぐに使用します:-)。

読んでいた

iOS フォレンジック分析: iPhone、iPad、および iPod touch の場合は、 こちらの amazon をご覧ください

unjailbroken デバイスで iOS デバイスのパーティション全体のダンプを取得する方法がわかりません/理解できません。そのような方法でUSBを使用する必要があると思います（おそらくphoneviewのように）が、オンラインで何も見つかりませんでした。私は何かを無視していますか？

カード会員データの SQL データベース/ファイル システムなどのシステムをスキャンするために利用できる (オープン ソース) ツールはどれですか? これまでのところ、PANBuster、7sec、および PANscan を発見しましたが、他にもあるのではないかと考えています (できればオープン ソース)。

私は、MFT レコードやその他の Windows アーティファクトを含めるために、生データを手動で再構築する必要がある状況にいます。MFT レコードのタイムスタンプは 64 ビット整数、ビッグ エンディアンであり、1601 年 1 月 1 日 00:00:00 UTC から 100 ナノ秒間隔で計算されることを理解しています。Windows の電子メール ヘッダーのタイムスタンプもよく知っています。これは、2 つの 32 ビット値を組み合わせて 1 つの 64 ビット値を形成するもので、これも 1601 年 1 月 1 日 00:00:00 UTC からの 100 ナノ秒間隔の数によって計算されます。 .

しかし、1800 年代の日付を使用していると思われる SQL Server タイムスタンプなど、異なるエポックを持つ Windows タイムスタンプが他にもあります。このすべてに関するドキュメントはあまり見つかりません。上記の 2 つ以外に Windows で使用されるタイムスタンプは何ですか? それらをどのように分解しますか？