2015年03月14日

簡易解析入門 プログラム実行の痕跡の調査 (1)Prefetch

 マルウェア感染などのインシデントにおいて、特定のプログラムの実行有無および実行日時を確認したいことがあります。

[確認したい状況の例]
  • マルウェアに感染した日時を特定したい(マルウェアが実行された日を知りたい)
  • 不審メールに添付されていたマルウェアの実行有無を確認したい(利用者の記憶が曖昧なため調査したい)

 Windowsでは、プログラム実行の痕跡がさまざまな形で残りますが、今回はお手軽に調べることができる「Prefetch」(プリフェッチ)の調査方法を紹介します。

Prefetchの概要

 Prefetchは、利用頻度が高いアプリケーションの起動を高速化する仕組みで、WindowsXPから導入されました。

[主な特徴]
  • プログラムが起動された10秒後に、C:\Windows\Prefetchフォルダに、ファイル名が「プログラム名-フルパスのハッシュ値.pf」のファイルが作成される。
  • ハッシュ値は、プログラムのフルパスから計算される。「プログラム名」部分が同一でハッシュ値が異なるPFファイルは、異なるフォルダから実行されたと判断できる
  • PFファイルには、プログラムのフルパス、実行日時、実行回数、プログラムが起動時に読み込んだファイル名(DLLファイルなど)、ボリューム関連情報が記録される。
  • コマンドラインやオートラン機能(autorun.inf)などにより実行したプログラムもPFファイルが作成される。
  • PFファイルは最大で128個程度作成される(参考文献では最大128個との記載がありますが、私の環境では129個まで作成されることを確認しています)
  • Windows7以降で、SSDを搭載しているとPrefetchが無効化される場合がある(私のDynabook R632 2012年モデルでは無効化されていません)

(注記)条件は不明ですが、PFファイルが作成されない場合もあります。 そのため,PFファイルが存在していないことで、「過去に実行されたことはない」と判断することはできません。 (Prefetchに限らず、フォレンジック調査では「存在していなかったこと」を証明することは難しいです)

参考文献

Forensics Wiki - Prefetch(英語)
http://www.forensicswiki.org/wiki/Prefetch

Forensics Wiki - Windows Prefetch File Format(英語)
http://www.forensicswiki.org/wiki/Windows_Prefetch_File_Format

調査方法

エクスプローラーによるお手軽調査方法

 エクスプローラーで、Prefetchフォルダを確認してみましょう。なお,このフォルダにアクセスするには管理者権限が必要です。 PFファイルの存在から、プログラム実行の痕跡を確認できます。 また、PFファイルの作成日時・更新日時から、実行日時を推測することができます。

(注記)PFファイルのタイムスタンプは、プログラム実行の10秒後に更新されることにご注意ください

Prefetch Folder

「WinPrefetchView」による調査方法

 NirSoft「WinPrefetchView」は、PFファイルの解析結果を表示してくれるフリーソフトです。

 起動には管理者権限が必要です。起動すると、C:\Windows\Prefetchフォルダに格納されているPFファイルの解析結果が表示されます。

 任意のフォルダに格納したPFファイルを解析したい場合は、メニューから「Options」-「Advanced Options」をクリックすると、フォルダ指定ダイアログが表示されます。

[説明]
  • 表示されるタイムスタンプは、すべてローカルタイム(日本時間)
    (設定を変更すればUTCでの表示も可能)
  • 「Last Run Time」は、PFファイルに記録されている最終実行日時
  • 「Run Counter」は、プログラム実行回数
  • 「Created Time」、「Modified Time」は、PFファイルのタイムスタンプ
    (PFファイルのコピーなどの操作により、タイムスタンプが更新されるので注意)

WinPrefetchView

バイナリエディタによる調査方法

 参考文献のPFファイルのフォーマットを読むと、PFファイルには、ボリュームシリアルも記録されることが分かります。

 ボリュームシリアルとは、ファイルシステムをフォーマットした時刻情報をもとに生成されるランダムな値のことです。 現在接続されているディスクなどのボリュームシリアルは、コマンドプロンプトからdirコマンドを実行することで簡単に調べることができます。

E:\>dir
ドライブ E のボリューム ラベルは LABUSB です
ボリュームシリアル番号は 523E-8109 です

(表示内容は省略)

E:\>
    

 調査対象機器のボリュームシリアルが同じ値となる可能性は低いため、例えば起動されたプログラムが格納されていたUSBメモリの特定などに役立ちます。

 残念なことに、WinPrefetchViewでは、ボリュームシリアルを表示することができません。

 しかし、バイナリエディタを使って手動でPFファイルを解析すれば、ボリュームシリアルを特定することが可能ですので、挑戦してみましょう。

注意事項

この調査方法は、WindowsXPで作成されたPFファイルに対してのみ有効です。
Windows7のPFファイルには、USBファイルから起動した痕跡は残りません。

 今回は、USBメモリにFTK Imager Liteを格納し、WindowsXP SP3に接続して実行したPFファイルを解析してみます。

 それでは、適当なバイナリエディタでPFファイルを開いてみましょう。

 ファイルの先頭(Offset 0x00)のデータが、「0x11」(10進数で17)となっています。 これは、PFファイルのバージョン情報で、WindowsXPのPFファイルであることを示しています。 もしも、0x11以外の値だった場合、他のOSで作成されたPFファイルのため、USBメモリに関する情報は含まれない可能性が高いため、ご注意ください。

Prefetch Image01

 次に、ファイルの先頭から0x6cバイトの位置(Offset 0x6cと表現します)に記録されている4バイトの値を確認します。 Bzエディタの場合、上部にある検索ボックスに「> 6c」と入力してエンターキーを押すと、指定したアドレスにカーソルがジャンプします。

 この例では、Offset 0x6cから「B8 33 00 00」となっています。 リトルエンディアン(アドレスが大きいほうから、小さいほうに記録する形式)で記録されているため、右から左にバイトずつ読み取り「0x000033b8」と解釈します。

Prefetch Image02

 読み取った「0x33b8」に「0x10」を加算したアドレス「0x33c8」が、ボリュームシリアルへのオフセットです。 それでは、Offset 0x33c8の値を確認してみましょう。「09 81 3e 52」となっています。 これもリトルエンディアンで記録されていますので、右から左に読み取り「52 3e 81 09」と解釈します。

 コマンドプロンプトで確認したボリュームシリアルと一致しました。

Prefetch Image03

 また、プログラムのフルパスも記録されていますので、プログラム名で検索してみましょう。 Bzで検索する場合は、メニュー「表示」-「文字コード」を「Unicode(UTF-16)」にしないと検索がヒットしないので注意してください。 (Bzは現在表示している文字コードで検索する仕様です)

 フルパスはハードディスクから実行した場合と異なる形式で記録されており、USBストレージから起動したことが分かります。 ハードディスクから起動した場合にどのように記録されているかは、ぜひ皆さんの環境でご確認ください。

Prefetch Image04

 なお、今回はボリュームシリアルをdirコマンドで確認しましたが、FTK Imager Liteなどで、 USBメモリ(またはUSBメモリのイメージファイル)を参照することでも確認することができます。 ボリュームシリアルは、ディスクのあるオフセットに書き込まれているのですが、今回は詳細な説明は割愛します。

Windows7環境におけるUSBメモリからの実行痕跡

冒頭で述べたとおり、Windows7環境では、PFファイルにUSBメモリの痕跡が残りませんので、注意が必要です。

具体的には、次のように記録されます。

  • ボリュームシリアルは、OS起動ドライブのものが記録される
  • プログラム本体やDLLファイルなど、USBメモリに格納したファイルのパスは一切記録されない
  • ボリューム作成日時は、OS起動ドライブの$MFTのタイムスタンプが記録される
    (本記事では説明していない内容のため、ご参考まで)
以上
posted by やまと at 00:01| Comment(0) | 実験日誌

2015年02月22日

フォレンジックツール入門 Registry Viewer

 AccessData社の簡易フォレンジックツール「Registry Viewer」の使い方を紹介します。

 このツールは有償製品のため、ライセンス認証用USBドングルを接続しないと機能制限された「Demo Mode」で起動します。 「Demo Mode」でも入門者の学習用としては十分な機能を有していると思います。

Registry Viewer

説明資料

以上
posted by やまと at 09:34| Comment(0) | 実験日誌

2015年02月09日

フォレンジックツール入門 FTK Imager

 AccessData社の簡易フォレンジックツール「FTK Imager」の使い方を紹介します。  このツールはライブレスポンスにおけるエビデンス取得やディスクの簡易閲覧などに利用するもので、本格的な調査には向きませんが、 無料で使えること、Windows用GUIツールということで、比較的操作方法が簡単なので、入門者には良いツールだと思います。

 ちなみに、有償版の「FTK」もありますので「FTK Imager」のことを略して「エフティーケー」とか呼んでいると、ちょっと紛らわしいので注意が必要です。 (「FTK」は日本円で購入すると、50万円以上する高価なソフトウェアです。趣味で購入するには高すぎるので、WinHex Specialistでがんばりましょう・・・。)

FTK Imager

説明資料

以上
posted by やまと at 00:10| Comment(0) | 実験日誌