揮発性情報 2003/05/25 伊原 秀明(Port139).

Slides:



Advertisements
Similar presentations
1 実技演習1 2008/01/28,29 JaLTER Morpho 講習会. 2 起動・接続 各自、コンピュータを起動してネットワーク に接続してください。 各自、コンピュータを起動してネットワーク に接続してください。 IP アドレス自動取得 IP アドレス自動取得 無線 LAN 使用可 無線.
Advertisements

TCP/IP によるチャットプログラ ム 薄井 秀晃. 基礎知識編 TCP/IP とは? IP とは・・・ Internet Protocol の略称であり通信方法の技術的なルールで あり、実際にデータを送受信する前にデータを小さなデータ に分割し、それに発信元と受信先の IP アドレスを付加させて.
第1章 ネットワークとコミュニケーション 第2節 ネットワークのしくみ 2 ネットワークを支える技術 (教科書 p36 ~ p37) 今日の用語  モデム (modulator/demodulator:modem)  IP アドレス (internet protocol address)  ドメインネーム.
Confluence インストールに必 要な 知識と手順 リックソフト株式会社 2010 年 12 月.
1 ルータ・スイッチ 基礎教育 (基礎編). 2 Agenda ~基礎編~ シスコ機器との接続方法 IOS とメモリの種類 ルータの起動順序 IOS のアクセスレベル パスワードの設定 インターフェースの設定 show コマンド copy コマンド debug コマンド CDP ( Cisco Discovery.
インターネット プロトコル 情報教員のためのサーバ管理技法 3 日目 柴田 功. 情報教育の失敗事例 ホームページ作成でロゴの画像の ファイル名が他の生徒とかぶってし まった。 ホームページ作成でロゴの画像の ファイル名が他の生徒とかぶってし まった。 生徒には作品を FD に保存させていた が、データが消えてしまった。
目次 このドキュメントについて・・・前提条件……………………………………… 2
Ddによる複製 2004/05/24 伊原 秀明(Port139).
BOM for Windows セキュリティログ監視キット ファイル・アクセスログ収集ソリューション
確定日付 2003/05/24 伊原 秀明(Port139).
安全なログオン手順 2004/08/26 Port139 伊原 秀明.
仮想テープライブラリ クラウド環境で利用できるテープバックアップの代替サービス 簡単な図 (網羅性より象徴性)
2006年11月22日 植田龍男 Webサービス II (第9回) 年11月22日 植田龍男.
.NET テクノロジー を利用した SAP ソリューションの拡張 (3階層化) (評価環境構築ガイド)
スキルチェック Unix編.
join NASS ~つながりあうネットワーク監視システム~
PCの情報を得る - 「システム情報」 ①「スタート」→「すべてのプログラム」→「アクセサリ」→「システム ツール」→「システム情報」とクリックする。 ②左欄の項目を選択すると、右欄に情報が表示される。
コントロールパネル ◎コントロール パネル: コンピュータのさまざまな機能を設定するための画面
コントロールパネル ◎コントロール パネル: コンピュータのさまざまな機能を設定するための画面
ネットワーク層.
既存のBPOS のお客様のBPOS から Office 365 への切替
削除されたファイルの復元 2004/05/26 伊原 秀明(Port139).
第5回授業(5/08) の目標 第1章のウェブ上での宿題のやり方の続き(ここまでで、終了)。
キャンパスクラウドによる 実験環境の構築 情報ネットワーク特論 講義資料.
NTFS 2004/05/24 伊原 秀明(Port139).
ライブ・システムの複製 Rev 0.3 dd.exe、md5sum.exeは以下のURLにあるツールを利用
WindowsNTによるLAN構築 ポリテクセンター秋田 情報・通信系.
輪講: 詳解TCP/IP ACE B3 suzuk.
スキルアップ.
Telnet, rlogin などの仮想端末 ftp などのファイル転送 rpc, nfs
.NET テクノロジー を利用した SAP ソリューションの拡張 (3階層化) (評価環境構築ガイド)
Linux リテラシ2006 第6回 デーモン CIS RAT.
ファイアウォール 基礎教育 (2日目).
Windows Azure 仮想ネットワーク
メールの利用1 Webメールの利用方法.
Linux リテラシ 2006 第4回 ネットワーク CIS RAT.
九州大学キャンパスクラウド 利用法 情報ネットワーク特論 講義資料.
Windows-XPにソフトをインストールしたい
第11章 UDPユーザ・データグラム・プロトコル
Ciscoルータ設定入門 小林 稔幸.
インターネットの基礎知識 その3 ~TCP・UDP層編~
SPARS-J デモ 山本哲男 立命館大学 情報工学部 2018/12/1 SPARS-J デモ.
学校におけるネットワークの運用と技術 テクニック編.
イーサネットフレームの構造とデータリンク層アドレス
CCP Express 3.3 アップグレード ガイド
セキュリティ 05A2013 大川内 斉.
実行時情報に基づく OSカーネルのコンフィグ最小化
キャンパスクラウドによる 実験環境の構築 情報ネットワーク特論 講義資料.
RD セッション ホストにおける RDC クライアントの シングル サインオン (SSO) について
gate-toroku-system のしくみ
ネットワークプログラミング (5回目) 05A1302 円田 優輝.
Step.1 LinuxとIPコマンド ifconfig [-a] [インタフェース名] arp [-n]
Step.7 ダイナミック(動的)ルーティング
3号館ネットワークプリンタ出力方法図 3号館(同セグメント含む) 3号館と別セグメントの建物(DHCPもこちら) プリンタドライバーを
Cisco Configuration Professional Express 3.3 アップデート
インターネット             サーバーの種類 チーム 俺 春.
コンピュータ リテラシー 担当教官  河中.
~目次~ Ⅰ.動作環境 Ⅱ.ファイルのダウンロード Ⅲ.システムのインストール Ⅳ.初期設定 Ⅴ.アンインストール
gate登録システム: 設計ポリシーから使い方まで
ユビキタスコンピューティングの ための ハンドオーバー機能付きRMIの実装
Ibaraki Univ. Dept of Electrical & Electronic Eng.
CO-Client Opeartion 1.1 利用履歴データベースの設計 (スキーマ バージョン 対応)
4.3 IPとルーティングテーブル 国際産業情報学科 2年 大竹 雅子.
TCP/IP 通信テストツール TcpTestTool by PipeKatoo!
異種セグメント端末による 分散型仮想LAN構築機構の設計と実装
SYSVOL複製 を DFS レプリケーションに移行する
gate-toroku-system のしくみ
アプリケーションゲートウェイ実験 2001.10.5 鬼塚 優.
プロトコル番号 長野 英彦.
HTTPプロトコルの詳細 M1 峯 肇史.
Presentation transcript:

揮発性情報 2003/05/25 伊原 秀明(Port139)

揮発性情報とは 時間の経過と共に失われる情報 (消えやすく復元が難しい) 電源断により失われる情報 システムが稼働中にのみ取得可能な情報 操作により変化する情報 (タイムスタンプ,削除ファイルなど) 状態情報(通信状態など) © Hideaki Ihara(Port139).

揮発性の順序 RFC 3227 『証拠収集とアーカイビングのためのガイドライン』 にて定義されている http://www.ipa.go.jp/security/rfc/RFC3227JA.html 揮発性が高い レジスタ、キャッシュ ルーティングテーブル、arp キャッシュ、プロセステーブル、カーネル統計、メモリ テンポラリファイルシステム ディスク 当該システムと関連する遠隔ロギングと監視データ 物理的設定、ネットワークトポロジ アーカイブ用メディア 揮発性が低い ※RFC3227JAより引用 © Hideaki Ihara(Port139).

揮発性情報の確認 揮発性情報は、時間の経過と共に変化する, まずは保全し内容確認は後から行うこと 揮発性情報は、操作の影響を受けやすいので不要な操作は行わないこと 揮発性情報の多くは、システムへログオンして確認する必要がある (ログオン時にはトラップの存在を考慮) © Hideaki Ihara(Port139).

揮発性情報の保全(1) 揮発性の順序に従い、揮発性が高い、重要な情報から迅速に保全する 揮発性情報へ影響を与える操作はしないこと (影響を考慮し,事前に手順を決めておく) 手順を誤ると、必要な情報が得られない可能性がある 例)ネットワークケーブルを抜いてからIPCONFIGコマンドを実行しても意味が無い © Hideaki Ihara(Port139).

揮発性情報の保全(2) 揮発性情報を取得するコマンドは安全性を確認したものを利用すること 例:CD-ROMに焼いたプログラム コマンドを手動で入力すると、時間の経過やミスを引き起こす可能性がある(引数不足など) なるべく自動的に取得できるようにしておく(あまり複雑なスクリプトにしないこと) © Hideaki Ihara(Port139).

揮発性情報の保存先 取得した情報は専用の領域へ保存 削除されたファイルやデータが失われることがないように、専用領域へ保存する ローカルに保存領域が確保できない場合にはネットワーク経由で出力する (Netcatを利用) © Hideaki Ihara(Port139).

揮発性情報の必要性? 揮発性情報は時間の経過により変化するため保全作業が行われた時点で必要な情報が取得できる可能性は低い 揮発性情報の取得操作が、より重要な証拠となるデータを消す可能性もある © Hideaki Ihara(Port139).

コマンド例 Windows環境における代表的な揮発性情報を確認・保存するためのコマンド(赤字部分) 必要に応じてコマンドの追加・変更を 実行するコマンドの影響を考慮すること プログラムは安全なものを利用すること これらのコマンド結果が、常に証拠となる情報を含むわけではない © Hideaki Ihara(Port139).

ARPテーブルの保存 ARPテーブルの表示コマンド arp –a Interface: 192.168.0.10 --- 0x4 Internet Address Physical Address Type 192.168.0.1 00-90-cc-4a-87-0c dynamic 192.168.0.110 00-d0-b7-8f-12-7d dynamic © Hideaki Ihara(Port139).

DNSキャッシュの保存 DNSキャッシュ情報の表示 ipconfig /displaydns Windows IP Configuration 1.0.0.127.in-addr.arpa ---------------------------------------- Record Name . . . . . : 1.0.0.127.in-addr.arpa. Record Type . . . . . : 12 Time To Live . . . . : 567799 Data Length . . . . . : 4 Section . . . . . . . : Answer PTR Record . . . . . : localhost © Hideaki Ihara(Port139).

ネットワーク情報の保存 TCP/IP接続情報 netstat –an ※XP以降では-oオプションも指定※ ルーティングテーブルの表示 netstat –r または route print プロトコル統計情報の表示 netstat -s © Hideaki Ihara(Port139).

NetBIOS over TCP/IP情報の保存 NBT‘s キャッシュの表示 nbtstat –c セッションテーブルの表示 nbtstat –s, nbtstat –S (小文字はコンピュータ名,大文字はIPアドレス) ローカルNetBIOS名の確認 nbtstat -n © Hideaki Ihara(Port139).

NET コマンド情報の保存 セッションの一覧表示 net session 開かれているファイルの一覧表示 net file 統計情報 net statistics server net statistics workstation 共有の一覧表示 net share, net view 構成情報の一覧表示 net config server, net config workstation ユーザー,グループ, アカウント情報の一覧表示 net user, net localgroup, net accounts © Hideaki Ihara(Port139).

Netdiag コマンド情報の保存 診断情報の保存 netdiag /v /debug 『NetDiag.log』がカレントディレクトリに自動的に作成され書き込まれる点に注意すること DHCP, WINS への問い合わせが発生 (通信のログが発生する) © Hideaki Ihara(Port139).

システム情報の保存 『winmsd(msinfo32.exe)』コマンドを利用してシステム情報を一括して保存する winmsd /report ファイル名 または msinfo32 /report ファイル名 reportオプションにより、システム情報がテキストファイルとして保存される © Hideaki Ihara(Port139).

プロセス実行権限の保存 プロセスの実行権限を保存 (Winmsdでは権限が保存されない) PULIST.EXE(リソースキット)を利用 © Hideaki Ihara(Port139).

オープンファイルの保存 オープン中ファイル,レジストリの保存 -net files(共有リソースのみ) -openfilesコマンドの利用(XP以降) 事前にフラグを有効にしておく必要がある Handle http://www.sysinternals.com/ntw2k/freeware/handle.shtml © Hideaki Ihara(Port139).

DLL情報の保存 実行中プロセスがロードしているDLL情報を保存 ListDlls http://www.sysinternals.com/ntw2k/freeware/listdlls.shtml © Hideaki Ihara(Port139).

ポート利用状況の保存 ポートを利用中のプロセス情報を保存 CUIで利用可能なツール Fport.exe http://www.foundstone.com/resources/proddesc/fport.htm GUIで利用可能なツール Active Ports http://www.ntutility.com/freeware.html TCPView http://www.sysinternals.com/ ※Windows XP 以降であれば netstat コマンドのオプション-b、-oで確認が可能 © Hideaki Ihara(Port139).