揮発性情報 2003/05/25 伊原 秀明(Port139)
揮発性情報とは 時間の経過と共に失われる情報 (消えやすく復元が難しい) 電源断により失われる情報 システムが稼働中にのみ取得可能な情報 操作により変化する情報 (タイムスタンプ,削除ファイルなど) 状態情報(通信状態など) © Hideaki Ihara(Port139).
揮発性の順序 RFC 3227 『証拠収集とアーカイビングのためのガイドライン』 にて定義されている http://www.ipa.go.jp/security/rfc/RFC3227JA.html 揮発性が高い レジスタ、キャッシュ ルーティングテーブル、arp キャッシュ、プロセステーブル、カーネル統計、メモリ テンポラリファイルシステム ディスク 当該システムと関連する遠隔ロギングと監視データ 物理的設定、ネットワークトポロジ アーカイブ用メディア 揮発性が低い ※RFC3227JAより引用 © Hideaki Ihara(Port139).
揮発性情報の確認 揮発性情報は、時間の経過と共に変化する, まずは保全し内容確認は後から行うこと 揮発性情報は、操作の影響を受けやすいので不要な操作は行わないこと 揮発性情報の多くは、システムへログオンして確認する必要がある (ログオン時にはトラップの存在を考慮) © Hideaki Ihara(Port139).
揮発性情報の保全(1) 揮発性の順序に従い、揮発性が高い、重要な情報から迅速に保全する 揮発性情報へ影響を与える操作はしないこと (影響を考慮し,事前に手順を決めておく) 手順を誤ると、必要な情報が得られない可能性がある 例)ネットワークケーブルを抜いてからIPCONFIGコマンドを実行しても意味が無い © Hideaki Ihara(Port139).
揮発性情報の保全(2) 揮発性情報を取得するコマンドは安全性を確認したものを利用すること 例:CD-ROMに焼いたプログラム コマンドを手動で入力すると、時間の経過やミスを引き起こす可能性がある(引数不足など) なるべく自動的に取得できるようにしておく(あまり複雑なスクリプトにしないこと) © Hideaki Ihara(Port139).
揮発性情報の保存先 取得した情報は専用の領域へ保存 削除されたファイルやデータが失われることがないように、専用領域へ保存する ローカルに保存領域が確保できない場合にはネットワーク経由で出力する (Netcatを利用) © Hideaki Ihara(Port139).
揮発性情報の必要性? 揮発性情報は時間の経過により変化するため保全作業が行われた時点で必要な情報が取得できる可能性は低い 揮発性情報の取得操作が、より重要な証拠となるデータを消す可能性もある © Hideaki Ihara(Port139).
コマンド例 Windows環境における代表的な揮発性情報を確認・保存するためのコマンド(赤字部分) 必要に応じてコマンドの追加・変更を 実行するコマンドの影響を考慮すること プログラムは安全なものを利用すること これらのコマンド結果が、常に証拠となる情報を含むわけではない © Hideaki Ihara(Port139).
ARPテーブルの保存 ARPテーブルの表示コマンド arp –a Interface: 192.168.0.10 --- 0x4 Internet Address Physical Address Type 192.168.0.1 00-90-cc-4a-87-0c dynamic 192.168.0.110 00-d0-b7-8f-12-7d dynamic © Hideaki Ihara(Port139).
DNSキャッシュの保存 DNSキャッシュ情報の表示 ipconfig /displaydns Windows IP Configuration 1.0.0.127.in-addr.arpa ---------------------------------------- Record Name . . . . . : 1.0.0.127.in-addr.arpa. Record Type . . . . . : 12 Time To Live . . . . : 567799 Data Length . . . . . : 4 Section . . . . . . . : Answer PTR Record . . . . . : localhost © Hideaki Ihara(Port139).
ネットワーク情報の保存 TCP/IP接続情報 netstat –an ※XP以降では-oオプションも指定※ ルーティングテーブルの表示 netstat –r または route print プロトコル統計情報の表示 netstat -s © Hideaki Ihara(Port139).
NetBIOS over TCP/IP情報の保存 NBT‘s キャッシュの表示 nbtstat –c セッションテーブルの表示 nbtstat –s, nbtstat –S (小文字はコンピュータ名,大文字はIPアドレス) ローカルNetBIOS名の確認 nbtstat -n © Hideaki Ihara(Port139).
NET コマンド情報の保存 セッションの一覧表示 net session 開かれているファイルの一覧表示 net file 統計情報 net statistics server net statistics workstation 共有の一覧表示 net share, net view 構成情報の一覧表示 net config server, net config workstation ユーザー,グループ, アカウント情報の一覧表示 net user, net localgroup, net accounts © Hideaki Ihara(Port139).
Netdiag コマンド情報の保存 診断情報の保存 netdiag /v /debug 『NetDiag.log』がカレントディレクトリに自動的に作成され書き込まれる点に注意すること DHCP, WINS への問い合わせが発生 (通信のログが発生する) © Hideaki Ihara(Port139).
システム情報の保存 『winmsd(msinfo32.exe)』コマンドを利用してシステム情報を一括して保存する winmsd /report ファイル名 または msinfo32 /report ファイル名 reportオプションにより、システム情報がテキストファイルとして保存される © Hideaki Ihara(Port139).
プロセス実行権限の保存 プロセスの実行権限を保存 (Winmsdでは権限が保存されない) PULIST.EXE(リソースキット)を利用 © Hideaki Ihara(Port139).
オープンファイルの保存 オープン中ファイル,レジストリの保存 -net files(共有リソースのみ) -openfilesコマンドの利用(XP以降) 事前にフラグを有効にしておく必要がある Handle http://www.sysinternals.com/ntw2k/freeware/handle.shtml © Hideaki Ihara(Port139).
DLL情報の保存 実行中プロセスがロードしているDLL情報を保存 ListDlls http://www.sysinternals.com/ntw2k/freeware/listdlls.shtml © Hideaki Ihara(Port139).
ポート利用状況の保存 ポートを利用中のプロセス情報を保存 CUIで利用可能なツール Fport.exe http://www.foundstone.com/resources/proddesc/fport.htm GUIで利用可能なツール Active Ports http://www.ntutility.com/freeware.html TCPView http://www.sysinternals.com/ ※Windows XP 以降であれば netstat コマンドのオプション-b、-oで確認が可能 © Hideaki Ihara(Port139).