SecuLog

■tcpxtract

キャプチャデータからtcpセッション中で転送されたファイルを復元してくれるツール。ネットワークインターフェースからのリアルタイムの復元及びダンプファイルからの復元が可能。こんな感じで。

[root@localhost files]# tcpxtract -f plog_00001
Found file of type "gif" in session
   [*.*.*.*:20480 -> *.*.*.*:20666], exporting to 00000000.gif
Found file of type "gif" in session
   [*.*.*.*:20480 -> *.*.*.*:23226], exporting to 00000001.gif
Found file of type "gif" in session
   [*.*.*.*:20480 -> *.*.*.*:17082], exporting to 00000002.gif
Found file of type "gif" in session
   [*.*.*.*:20480 -> *.*.*.*:23482], exporting to 00000003.gif
Found file of type "gif" in session
   [*.*.*.*:20480 -> *.*.*.*:24250], exporting to 00000004.gif
Found file of type "gif" in session
   [*.*.*.*:20480 -> *.*.*.*:24506], exporting to 00000005.gif
...

付属のtcpxtract.confを編集することで、復元するファイルの種類を変えることも可能。実際にいくつかのダンプファイルで試してみたところ、Segmentation faultやBad file descriptorが発生して落ちる場合などもあるため、実際の使い方には工夫が必要。

seculogger による 10:00 午前 の書き込み
コメント(2) | トラックバック(0) | Translate (en)

■MS: マイクロソフト セキュリティ アセスメント ツール

The Microsoft Security Assessmentの最新日本語版。9/28付けで2.0に更新されていたようです。

• 日本のセキュリティチームのBlog: マイクロソフト セキュリティ対策診断ツール (Microsoft Security Assessmnet Tool:MSAT)

中小規模といっていますが、従業員1,000名未満までといえば結構な大きさの会社も含まれると思うので、適用範囲はかなり広いと思います。

それなりに考えられたレポートが出力されるので、分析とかレポートの見本として勉強に利用するのもよいかもしれません。

seculogger による 03:10 午後 の書き込み
コメントなし | トラックバック(0) | Translate (en)

■System Virginity Verifier 1.0

rootkit検知ツールにまた新たな顔ぶれです。

メモリ中にロードされたコードとファイルとして存在するコードを比較する手法で、悪意ある振る舞いをするコードを検出するとのこと。

エントリ中に、HITBでの発表に使用されたというプレゼンテーションが公開されており、そちらで詳しく説明されています。Rootkitライクな振る舞いをするほかの悪意のないアプリケーションを誤検知しないよう、工夫がなされているようです。

seculogger による 12:39 午後 の書き込み
コメントなし | トラックバック(0) | Translate (en)