まっちゃ445目覚まし勉強会
当日のTweetまとめ By piyokangoさん
第20回まっちゃ445勉強会の別のエントリーは以下です。
2012年06月30日(土曜日)10:31:04
NetworkMiner使ってみた:村地彰(hebikuzure)
- 資料:Network miner 使ってみた
- ネットワークパケットを読む勉強会をやっている
- スウェーデンの会社で、NETRESECが提供しているパケット解析ツール
- http://www.netresec.com/?page=Networkminer
FreeEditionとProfessional(500ユーロ)がある- Windowsで動作、.NET Framework 2.0とWinPcapが必要
- Pro版は、リモートキャプチャができたりする
- 主な機能
- ネットワークキャプチャ
- ファイルとして、ファイル名、URL、Mimetype、拡張子で復元が可能
- 自動的にファイルができる
- ユーザ・パスワードもデコードして、平文で保存
- メール・メッセージは、テキストで出てくる、MimeBase64も自動復号
- クリアテキストやキーワードサーチ
- OSフィンガープリントもある
- インターフェースがシンプル
- インストールはZIPでコピーするだけ
- インストールフォルダ以下にファイルを書き込むので、Program Filesではないところに保存したほうがよい
- %userprofile%appdata\Localに保存がおすすめ<Chromeと同じ場所
- 起動もEXEを起動するだけ、WinPcapがサービスとして実行されていれば、管理者権限が不要
- WinPcapをサービスとして実行していなければ、権限昇格が起こる
- アダプタの選択
- キャプチャするネットワークアダプタを選択
- WinPcapのついたものを選択(Socketのついたものはキャプチャだけ、使えない機能がある)
- 解析ができないので、WinPcapが必須
- 開始と停止もボタン一つ
- キャプチャが止まるだけ、レジュームみたいな位置づけ
- キャプチャデータは自動的に保存される
- NM_YYYY-MM-DDThh-mm-ss.pcapが作られる
- パケット内ファイルの抽出
- Pcapファイルを読み込ませることも可能
- 保存と解析は自動的に行われる
- Pcapファイルをドラッグ&ドロップで解析できる。(小学生でも解析可能w)
- プレビューは、32x32で保存されているが、実際のファイルは普通のイメージ
- 保存済みのファイルを読み込ませるのも簡単
- Dragすると、読み込まれる
- 解析をして、結果が出てくる
- いくつかのFingerPrintの情報から見てくる
- IMの添付としてやり取りされているDocxを取り出してくれる
- 注意事項
- データを定期的に削除するのを忘れると大変なことに
キャプチャデータ+抽出データ(通常の倍の容量が必要)- Toolsの下に、DeleteCapturedDataで削除できる
2012年06月30日(土曜日)11:08:22
今更ExifForensic(0ro)
- 資料:今更Exif forensics
- おさらい:ExifとGEOタグ
- ファイルフォーマット
- ソーシャルメディアの発達で、自分の情報をもったままネットにアップしてしまう
- 若者は知らずにアップしてしまう
- EXIF削除してTwittPicでシェアって言ったら、EXIF消してね、CabinCr3wみたいになりたくないだろw
- Exif解析
- GEOタグがついた写真でデモ
- 錦糸町の写真www
- GEOタグを変換すると、100メートルくらいずれていたけど確保可能
- Exifフォーマット
- ブロックに分かれていて、ポインターで飛ばされるフォーマット
- 手動解析
- サムネイル復元w
- Exifの中に、画像のサムネイルが入っている
- 紛らわしい詳細プロパティ