2015年02月22日

フォレンジックツール入門 Registry Viewer

 AccessData社の簡易フォレンジックツール「Registry Viewer」の使い方を紹介します。

 このツールは有償製品のため、ライセンス認証用USBドングルを接続しないと機能制限された「Demo Mode」で起動します。 「Demo Mode」でも入門者の学習用としては十分な機能を有していると思います。

Registry Viewer

説明資料

以上
posted by やまと at 09:34| Comment(0) | 実験日誌

2015年02月09日

フォレンジックツール入門 FTK Imager

 AccessData社の簡易フォレンジックツール「FTK Imager」の使い方を紹介します。  このツールはライブレスポンスにおけるエビデンス取得やディスクの簡易閲覧などに利用するもので、本格的な調査には向きませんが、 無料で使えること、Windows用GUIツールということで、比較的操作方法が簡単なので、入門者には良いツールだと思います。

 ちなみに、有償版の「FTK」もありますので「FTK Imager」のことを略して「エフティーケー」とか呼んでいると、ちょっと紛らわしいので注意が必要です。 (「FTK」は日本円で購入すると、50万円以上する高価なソフトウェアです。趣味で購入するには高すぎるので、WinHex Specialistでがんばりましょう・・・。)

FTK Imager

説明資料

以上
posted by やまと at 00:10| Comment(0) | 実験日誌

2015年02月01日

ウィルス検知アラートの読み方

 ウィルス対策ソフトの検知アラートが発生したということは、基本的には「既知のマルウェアから防御してくれた」ということなのですが、 すでに感染していたマルウェアを、パターンファイル更新により検知できるようになったということも考えられます。  この場合、感染により情報流出などが発生していないか心配ですし、他のパソコンの感染も疑う必要があります。

 検知アラートを読むことで、感染有無や侵入経路などのヒントを得ることができますので、今回は、そのあたりについて記載します。

 ところで、最近、情報セキュリティ業界では「マルウェア」という表現が定着してきたと思いますが、 「ウィルス対策ソフト」とは言っても「マルウェア対策ソフト」とはあまり言わないですね。  同じ文章のなかで「マルウェア」と「ウィルス対策ソフト」を混在させるのは、なんとなく気持ち悪いです。どうでもいい話ですが。

リアルタイムスキャンと完全スキャン

 ウィルス対策ソフトのスキャン方式は、一般的に「リアルタイムスキャン」と「完全スキャン」(フルスキャン、オンデマンドスキャン、 スケジュールスキャンなどと呼ぶ場合もあります)の2種類があります。

 それぞれの特徴と、検知アラートを見る時のポイントを以下に記載します。

スキャンの種類 特徴
リアルタイムスキャン

 パソコンを常時監視し、ファイルやメモリへのアクセスが発生する都度、スキャンする方式です。  リアルタイムスキャンで検知した場合、マルウェアが感染する前に防御できた可能性が高いですが、検知したフォルダにより危険度を判断します。

完全スキャン

 利用者が手動で操作指示した時や、スケジュール設定された時刻になるとパソコンの全ての領域に対してスキャンする方式です。  完全スキャンで検知した場合、パターンファイル更新に伴い、過去に感染していたマルウェア(現在は不活性化しているマルウェア)を検知した可能性があります。  検知したフォルダにより、危険度を判断します。

検知アラートの読み方(1)一時フォルダからの検知

 リアルタイムスキャンで検知したファイルが、ブラウザなどの一時フォルダに存在する場合、 マルウェアがパソコンに侵入した直後に検知できたことになるため、感染前に防御できた可能性が高いです。

主な一時フォルダを紹介します。

IE8〜IE10の一時フォルダ

 ブラウザは、インターネット上のWEBサイトを閲覧する際は、パソコンの一時フォルダにダウンロードしたファイルを開きます。

  • C:\Users\【ユーザー名】\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\
  • [注]保護モード/UACが有効の場合は、[前略] \Temporary Internet Files\Low\Content.IE5フォルダ内に保管されます。

Java1.7(Java Applet)の一時フォルダ

 脆弱性攻撃でよく狙われるJava Appletは、次の一時フォルダにダウンロードされます。

  • C:\Users\【ユーザー名】\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\【半角数字1〜2桁】\(フォルダ)

ZIPファイルの一時フォルダ(Explorerで開いた場合)

 マルウェアが、メールに添付されたZIPファイルとして侵入してくることもよくあります。  ZIPファイルをExplorerで開いた場合は、次の一時フォルダに展開したフォルダが保管されます。

 なお、WEBサイト上のZIPファイルをブラウザで開くと、ブラウザの一時フォルダにもZIPファイルがダウンロードされます。

  • C:\Users\【ユーザー名】\AppData\Local\Temp\Temp1_【ファイル名.zip】(フォルダ)

検知アラートの読み方(2)一時フォルダ以外からの検知

 感染を防御できていれば、一時フォルダ以外のフォルダに、マルウェアが侵入することはあり得ません。  あるとすれば、利用者がダウンロードしたファイル(メール添付ファイル、フリーソフトなど)などに潜んでいたマルウェアが、 パターンファイル更新に伴い検知できた場合です。

 いずれにしても、このような場合は感染を疑う必要があります。  レジストリなどに、検知したファイルの自動起動設定が残っているか調査することで、感染有無を断定していきます。 (調査方法はまた次の機会に紹介します。)

以上
posted by やまと at 18:02| Comment(0) | 実験日誌