第二回 コンピュータフォレンジクス技術解説 無料セミナーツイートまとめ

第二回 コンピュータフォレンジクス技術解説 無料セミナーに関連するというか発表内容のツイートをまとめてみました。 まとまってるほうが読みやすいですね。
0
Hideaki Ihara @port139

セミナー受付の待機中なう

2010-07-23 13:39:39
Hideaki Ihara @port139

そろそろ開始時刻に近くなってきて、参加者の皆さんおそろいですね。>Ji2 セミナー

2010-07-23 13:52:31
Hideaki Ihara @port139

セミナー開始前のこの微妙に緊張した空気(w

2010-07-23 13:53:05
swim_taiyaki @swim_taiyaki

Ji2セミナーなう。松本さんもいるねぇ。

2010-07-23 13:57:15
Hideaki Ihara @port139

1.「Entropyの仕組みと近似ファイルの検出」 担当:春山、が開始。

2010-07-23 14:02:21
Hideaki Ihara @port139

ファジーハッシュではソースになるファイルのハッシュ値が必要になる、比較対象がないといけない

2010-07-23 14:03:44
Hideaki Ihara @port139

ファジーハッシュとエントロピーの違いとして、エントロピーにはソースのファイルが必要ない点がメリットとしてある

2010-07-23 14:04:27
Hideaki Ihara @port139

エントロピーの算出式、高校の数学を思い出す必要がある

2010-07-23 14:06:29
Hideaki Ihara @port139

式の説明なので華麗にスルー、公式に興味がある方は資料参照ください

2010-07-23 14:07:52
Hideaki Ihara @port139

講師はちゃんと式の説明しています(w

2010-07-23 14:08:15
Hideaki Ihara @port139

エントロピーを計算するEnScript のデモ中。スクリプトは CCI な人の Blog に掲載されています > http://cci.cocolog-nifty.com/blog/

2010-07-23 14:10:03
Hideaki Ihara @port139

EnScriptの出力結果で、エントロピーはソートされているので、似通っているファイルは近くに存在する

2010-07-23 14:10:46
Hideaki Ihara @port139

データの内容が暗号化されていると、エントロピーの数値は高くなる

2010-07-23 14:12:25
Hideaki Ihara @port139

Doc はバイナリデータ内に 0x00 などが多いので、エントロピーの数値としては高くならないが、Office 2007 の Docx は ZIP ファイルなので DOC よりもエントロピーが高くなる

2010-07-23 14:13:48
Hideaki Ihara @port139

PDF もエンコードされているファイルなのでエントロピーは DOC などと比較すると高くなる

2010-07-23 14:14:23
Hideaki Ihara @port139

電子メールのエントロピーについて、メール一通ごとにエントロピーを計算してみた結果。例えば転送されたメールが近似の値となるか、メールスレッドの中にあるメールが近似になるか。

2010-07-23 14:15:54
Hideaki Ihara @port139

単純に転送しただけの電子メールだと、エントロピーの値は近くなる

2010-07-23 14:16:29
Hideaki Ihara @port139

一連のメールスレッドについて、個別メールのエントロピーを計算した場合、近くなる場合もあるが、添付ファイルなどがあるとエントロピーの値は遠くなる場合がある

2010-07-23 14:18:14
Hideaki Ihara @port139

EML のような状態にある電子メールの場合、本文が似た内容であっても添付ファイルがあると BASE64 データ部分についてもエントロピーが計算されてしまうので、近いメールを発見することが困難

2010-07-23 14:19:04
Hideaki Ihara @port139

本文を抜き出してエントロピーを計算するなどの対策が必要になる

2010-07-23 14:19:26
Hideaki Ihara @port139

次に、実行ファイル(EXE)の比較

2010-07-23 14:19:47
Hideaki Ihara @port139

バージョン違いの KaniKan を使いエントロピーを計算して、値を比較中。近似の値を示している。

2010-07-23 14:22:03
Hideaki Ihara @port139

パックされている実行ファイルと、パックされていない実行ファイルではエントロピーでは近似がとれない

2010-07-23 14:26:04
Hideaki Ihara @port139

メモリ内の実行ファイルのエントロピーを計算すると、パックされているものと、パックされていないものでも 0.02 くらいで近似が判別しやすくなる

2010-07-23 14:27:40