-
kyoshimine
- 8651
- 0
- 5
- 1
-
- いいね!1
Tsukasa #01
@a4lg
oO( 検察側の主張にはレジストリの証拠も含んでるはずで、それを変えようとするのは……一応既存の iesys でも可能。ただし、その iesys を使って極めて高度な技術を使ってペイロードを隠蔽し……といった作業が必要になる。やっぱりこれも違和感あるシナリオだな。 )
2014-03-19 11:37:30
北河拓士🔰
@kitagawa_takuji
エフセキュアブログ : アイシスを使ってファイルスラックに痕跡を残せるか http://t.co/qivvZkxAzs では、ファイルスラックに情報を残すことがどれくらい簡単かを検証してみましょう。
2014-03-19 11:38:12
Tsukasa #01
@a4lg
oO( で、検察主張をロジカルな PC 内データの方から一気にひっくり返したいなら、やはり弁護側が独自にディスク解析をすることに尽きる。それをする気があるのか無いのかは別として。 )
2014-03-19 11:39:20
connect24h
@connect24h
どぞ。@kitagawa_takuji: @harusanda @kyoshimine アイシスを使ってファイルスラックに痕跡を残せるか http://t.co/XSs52JIodj
2014-03-19 12:05:09
弁護士 吉峯耕平
@kyoshimine
これは極めて分かりやすい。iesys以外のソフトを使った可能性もあるが @connect24h どぞ。@kitagawa_takuji: @harusanda アイシスを使ってファイルスラックに痕跡を残せるか http://t.co/oSFJAZYhV4 @harusanda
2014-03-19 12:08:49
connect24h
@connect24h
某所で聞いた話の補完。結局は指摘にあるとおり、どのシナリオが矛盾がないかなんですよね。 RT @FSECUREBLOG: アイシスを使ってファイルスラックに痕跡を残せるか http://t.co/uziWmcVF9I
2014-03-19 12:10:02
connect24h
@connect24h
特定バージョンだけど最悪、そのドライブのすべてのファイルが削除される恐れって怖すぎ。DocuWorks 8 (バージョン:8.0.3) において、特定の条件下でPDF から DocuWorksへの変換をおこなうとファイルが消失 http://t.co/QiFfYMhfhH
2014-03-19 12:15:11
connect24h
@connect24h
次回は参加したいが。。。no drink, no hack! AVTOKYO 2013.5リポート:フォレンジックは「オワコン」なのか? - @IT http://t.co/cNXSvvwQWn
2014-03-19 12:15:11
山崎はるか
@harusanda
@kyoshimine @connect24h @kitagawa_takuji それもそうですし僕、被告のiesysは 他のとちがってたんじゃないの?っていう仮説を持ってるんです。 真犯人が被告の環境を見て、そういうこと考えるんやったら、入れ替えると思うんです。実際いたでしょ。
2014-03-19 12:18:22
弁護士 吉峯耕平
@kyoshimine
@harusanda 「実際いたでしょ」っていうのは、どういうことですか? @connect24h @kitagawa_takuji
2014-03-19 12:25:50
山崎はるか
@harusanda
@kyoshimine @connect24h @kitagawa_takuji あー ごめんなさい。被害者の中に、iesys.exeを入れ替えられた人 いらっしゃったでしょ、という意味です。
2014-03-19 12:30:01
弁護士 吉峯耕平
@kyoshimine
@harusanda バージョン違いみたいな話ですか。どうだったかな。 つまり、ゆうちゃんの環境をiesysでのぞいて、環境に適した別バージョンをさらに送り込むって感じですかね。その場合でもiesysの可能性が高いですか? @connect24h @kitagawa_takuji
2014-03-19 12:34:53
北河拓士🔰
@kitagawa_takuji
@kyoshimine @connect24h @harusanda 遠隔操作でファイルスラックに情報を残されたと言うのはやはり無理があると思う。なんらかの方法でファイルを置かれて、誰か(真犯人、K氏、後任者)が削除し、その後、後任者が4ヶ月使っている間にファイルスラックになった
2014-03-19 12:42:56
山崎はるか
@harusanda
@kyoshimine @connect24h @kitagawa_takuji 僕の記憶違いだったら申し訳ないのですが、愛知県の事務所のPCに仕込まれてたのって、たしか2.53みたいな数だったと思うんです。(他は 2.0とか2.2とか2.3で)→
2014-03-19 12:44:07
山崎はるか
@harusanda
@kyoshimine @connect24h @kitagawa_takuji →それで別バージョンを送り込むっていうのは、おっしゃるとおりです。(おわり)
2014-03-19 12:44:38
北河拓士🔰
@kitagawa_takuji
@kyoshimine @connect24h @harusanda と考えるのが自然ではないかな。まぁ、明日の公判での情報待ちですね。
2014-03-19 12:47:38
山崎はるか
@harusanda
@kitagawa_takuji @kyoshimine @connect24h まー そーですよねー あのね、やばいから人前で話すな言われたら やめますんで、客観的にみなさん まずいなと思ったら言ってくださいね。 僕ね、実行ファイルをなんで消すの?と。→
2014-03-19 12:51:29
山崎はるか
@harusanda
@kitagawa_takuji @kyoshimine @connect24h →0なり0xFFなりで、512バイト単位で上書きするほうが安全やんっていうほうなんです。 これFD時代やSASI時代ののウイルスつくりしてる人なら常識なんです。 ちがうんかなぁ。
2014-03-19 12:53:22
山崎はるか
@harusanda
あー もー 僕また浮世離れしてるんだわー くどちゃんとかから「そんなに普通目指してどうすんの?」って言われるけど、人に優しくされるのって わりと つらいよ?w
2014-03-19 13:19:18
Shoko Egawa
@amneris84
【参考】 RT @cyubaki3: 参考資料ですにゃ アイシスを使ってファイルスラックに痕跡を残せるか http://t.co/m4dNOYP5i6
2014-03-19 13:49:01
Takashi Matsumoto
@F0ro
エフセキュアブログ : アイシスを使ってファイルスラックに痕跡を残せるか http://t.co/LASNmk8vcw @FSECUREBLOGさんから
2014-03-19 14:27:49
Takashi Matsumoto
@F0ro
正直、アンチフォレンジックで汚染された可能性のあるPCをフォレンジックで解析し、改ざんの有無を断定するのはなかなか困難なんですよね。もちろんアンチのスキルにもよりますが…
2014-03-19 14:31:00
Takashi Matsumoto
@F0ro
@a4lg 犯人にアンチフォレンジックの知識があったこと(正確には警察のサイバー捜査に対する知識)ことは私は疑っていません。犯人がそのスキルを持っているかは重要です。改ざんの有無は調べてもなかなか結論出ないでしょうね。証拠を「消す」わけですから。明確なボロを出さない限りは…
2014-03-19 14:53:17