問題タブ [computer-forensics]

Google Chrome では、1601 年 1 月 1 日 00:00:00 UTC からのマイクロ秒数によって計算される、Webkit タイムスタンプと呼ばれる整数のタイムスタンプを使用していることを知っています。これが 64 ビットの符号付き整数 (最も理にかなっている) なのか、56 ビットの整数なのかよくわかりません。

タイムスタンプの例: 12883423549317375. これは、2009 年 4 月 5 日 16:45:49 UTC としてデコードされます。これがどのように機能するかについての良い参考文献はありますか? Webkit Web サイトを検索しましたが、このタイムスタンプのドキュメントは見つかりませんでした。

Apple システムの主要なタイムスタンプは、CF 絶対時間値 (Mac 絶対時間とも呼ばれる) であることを知っています。これは、2001 年 1 月 1 日 00:00:00 UTC からの秒数によって計算される 32 ビット整数です。たとえば、デコードされた 219216022 は、2007 年 12 月 13 日木曜日 05:20:22 UTC です。

Mac/Unix システムで使用される他のタイムスタンプはありますか (1970 年 1 月 1 日 00:00:00 UTC からの秒数で計算される 32 ビット整数であるデフォルトの Unix タイムスタンプ以外)?

「Opera Turbo」が有効になっている Opera ブラウザを使用しています。これは、HTML をより小さな形式に再圧縮するプロキシです。ターボによって 2000 kb から 500 kb に圧縮された Opera キャッシュのファイルがあります。このファイルを読み取り可能な形式に解凍するにはどうすればよいですか (元のファイルには html タグがほとんどなく、8 ビット テキスト、" <p>" タグ、および html ヘッダー/フッターのみです)。

このようなファイルの例を次に示します。

そして、これが元のファイルの一部です（本当に元のファイルかどうかはわかりませんが、そうである可能性が非常に高いです）：

圧縮ファイルのサイズは 3397 で、元のサイズは ~ 8913 バイトです。元のファイルは bzip2 で 3281 バイトまで圧縮できます。gzip で 3177 バイトに。lzma で 2990 バイトに。7z から 3082 バイトまで。zip で 3291 バイトに。

更新: Opera mini がこれを使用してデータwebodf/src/core_RawInflateを解凍するという情報があります (chrome オペラミニ拡張機能http://ompd-proxy.narod.ru/distrib/opera_mini_proxy.crxから- 7-zip で解凍します) 。 .jsこのファイルは役に立ちますか?

そのため、Windows メモリ イメージでメモリ分析を行っており、プロセスによって生成されたスレッドを見ています。

私が使用しているツールはボラティリティです。

そこで、エクスプローラー プロセスによって生成されたスレッドをチェックしていました。私の質問は、スレッドには常に 1) 所有プロセスと 2) 添付プロセスが必要ですか。

所有プロセス Explorer.exe を持つエクスプローラー スレッドをキャッチしましたが、アタッチされたプロセスには名前がありません。名前のないプロセスには、メモリ内に関連付けられたアドレスがあります。

スレッドに名前のないプロセスが接続されているのは正常ですか? また、所有されたプロセスと添付されたプロセスの違いは何ですか?

ご覧いただきありがとうございます。

正直
に言うと、最も基本的なタスクの 1 つに思えるので、この質問をするのはかなりばかげていると思います...

しかし、これまでのすべての検索で結果が得られなかったので、ここに私の問題があります:

私が取り組んでいるアプリのテスト ビルドがあります。

私たちのテスト リグで何が問題だったのかを正確に突き止めるために、Xcode だけでなく、ipa バンドル内のすべてのファイルを調べたいと思います。

問題は、どうすればそれを行うことができるかということです。

iTunesデバイスバックアップのファイル名はすべてハッシュさhead -c 20 "$fileName";れており、ディレクトリリストを簡単に調べてもあまり明らかになりませんでした...

Google の検索結果には、「盗まれてクラックされた IPAをジェイルブレイク デバイスに移動するにはどうすればよいですか」という質問への回答があふれています。

PS:
デバイスに ssh するためのジェイルブレイクは、もちろんオプションではありません。

Linux で Windows 2008 LDM パーティションを読み取ることはできますか?

5 つの 512GB LUN が ISCSI を介して停止した Windows 2008 にエクスポートされましたが、このボックスはそれらを必要としなくなりました。Windows は、それらが未加工のデバイスであると認識しています...したがって、Linux でパーティションを読み取りたいと思います。最新の Ubuntu を使用して、少なくとも一部のデータを保存しようとしています。問題は、私がこれまでに見つけたすべてのドキュメントが時代遅れのように見えることです (w2k または XP 論理ディスク マネージャー (LDM) について話していることがよくあります)。しかし、2008 では違うと思います。

Testdisk [0] から次の出力が得られます

注: 5 つの LUN のそれぞれに同じパーティション テーブルがあります。

cgssecurityやkernel.orgなどの多くのドキュメントでは、有用な情報を返さない ldminfo について説明しています。見つけるのが非常に困難だったという理由だけで、現在は廃止されていると思います:)そして、機能しないため、Windows 2008は別の形式を使用していると思います。

次に、それらを dmsetup で連結しようとしましたが、やはりうまくいきませんでした。それが私が dmsetup を使用した方法です：

だからまだNTFSファイルシステムはありません:)

そこからデータを抽出する方法やポインタを教えてくれる方法について誰かアイデアがありますか?

• http://www.cgsecurity.org/wiki/TestDisk
• http://www.kernel.org/doc/Documentation/filesystems/ntfs.txt

正しくロードされない（再フォーマットを要求する）誰かから16GBのメモリカードを持っています。私はそれからjpegを取り除こうとしています。

dd内容をファイルにダンプするために実行しましたが、これは見事に機能しました。ファイルはマウントおよび読み取りされないため、内容が何らかの理由で破損しています。

16進エディターでダンプを開くと、そこにデータがあることがわかります。jpegの開始と終了のマーカー（FFD8とFFD9）を探すことで、最初の3つのjpegを手動で抽出できました。

ファイルをストリーミングし、オフセットを見つけてファイルをダンプするコードを書く前に、これを行うための既存の方法はありますか？簡単なグーグル検索では何も見つかりませんが、これまで何度も解決されたはずの問題を解決したくありません。

jpegを簡単に抽出できるソフトウェアまたはまともなライブラリ（Pythonは言語に精通しているのでいいですが）を知っている人はいますか？それとも自分でコードを書くほうがいいですか？

PCにインストールされているWindowsのバージョンを識別する必要がある独立したC++コード（つまり、Windowsプログラムではない）があります。

カーネルバージョン（ntoskrnl.exeなど）によって異なるWindowsクライアントリリースを簡単GetFileVersionInfoに区別できますが、クライアントとサーバーのインストールを区別する信頼できる方法があるかどうか疑問に思っています。

この方法を使用してWindowsVistaSP2とWindowsServer2008 SP2（両方とも6.0ビルド6002）とWindows7とWindowsServer 2008 R2（RTM用の6.1ビルド7600とSP2用の6.1ビルド7601の両方）を区別すると、問題が発生します。 。環境外で実行されているコードに対してクライアントとサーバーのOSを正しく識別するための信頼できる（そしてできればできるだけ簡単に、レジストリを回避することはWin32 APIへのアクセスが利用できないので素晴らしい）方法は何ですか？

サーバーエディションにのみ存在するファイルをチェックできると思います（構成に関係なく、サーバーエディションのインストールで保証される適切なファイルは何ですか？）、Pantherフォルダーをチェックします（削除しても安全なので、保証はありません）、などですが、これは人々が以前に遭遇し、（うまくいけば）よりエレガントに解決した問題だと確信していますか？

（補足：この質問は以前にSOで質問されましたが、ソリューション（WMI）は帯域外チェックには適用できません）

私は現在、与えられたプロジェクトのモバイル フォレンジック ツールキットを作成しています。私は行き止まりになり、誰かが私を助けてくれることを願っています。

Android では、テキスト メッセージ、通話履歴、連絡先などはすべて.dbファイルとして保存されます。JTable にデータを入力して、特定のボタンを押したときに結果を表示できることを願っています。たとえば、[テキストの表示] をクリックすると、電話のすべてのテキスト メッセージが JTable に表示されます。また、.dbファイルには表示する必要のない列がたくさんあるので、表示したい列だけを選択する方法はありますか?

私は、コンピュータの侵入にどのように対応するかについて、非常に優れた情報源や書籍を探しています。このテーマに触れ、フォレンジック アーティファクトを取得するためのツールやテクニックを説明している本をたくさん見つけましたが、ハウツー ガイド/プロセスを探しています。

たとえば、次のように読みます。まず、IR 対応を開始する前に、インシデントが実際に発生したことを確認します。この状況で私は正確に何をしますか？私には多くの選択肢が残されています。問題のある IP アドレスが現在ボックスにあるかどうかを確認するために netstat を実行するか、疑わしいファイルを見つけることができるかどうかを確認するためにファイル システムを評価するかなどです。もちろん、これらの決定のそれぞれには、データの残留効果があります。後で説明する必要があります。次に、大規模なネットワーク内の多数のコンピューターが影響を受ける状況にどのように対処しますか。1 つを駆除しても、他のウイルスはまだそこに残っている可能性があり、再感染する可能性があります。このような疑問に答えてくれる情報源を探しています。

誰かが良い情報源を提案できますか。このため？