一方的に書き連ねるブログ

航海してすぐ後悔

ブラック前職を退職したときの話

こんばんは。はしだいです。

 

 

私は今都内のSIerの会社のセキュリティの部署で働いています。

今の会社でもいろいろな理由によって転職を考えているわけですが、ふと「前職を辞めた」ときの話でも書いてみようかと思ったので書きます。(前フリが長い)

あと、世間の大学生(3年生がメインなのかな?)も就活を意識し始めると思うので、私みたいにならないように先輩としてのアドバイスです(謎の上から目線)

 

・前職について

私は短大卒です。地元の短大卒業後、地元の事務用品販売の会社で営業として働いていました。

事務用品といってもペンやコピー用紙だけでなく、オフィスカーペットやLED照明やらコピー機やらパソコンやらを売っていました。

 

ブラック前職の初任給は大卒17万円程度、短大・専門卒が16万円程度でした。

都内の企業の初任給とくらべても低いですね。

 

前職は地元では割と名前の通っている企業で、周囲の人からは「いいところに入ったね」なんて言われていました。

実際求人情報では

・賞与あり(夏・冬 平均2ヶ月分)

・各種手当て(交通費、残業、早出)

・初年度有給7日

 

などと割と普通の福利厚生(使えるとは言ってない)が用意されていました。

 

 

この「使えるとは言ってない」というところがミソです。

 

 

・会社の人間関係について

高校卒業後、進学するか就職するかを選択します。前職では圧倒的に高卒の人が多かったです。

高校卒業してからずっと仕事をしてきて誇りを持っている人たちでした。

一応OJTのようなものあって、私のメンターは次長(部署で2番めに偉い)が努めてくれました。

そこでパワハラを受けました。(辞めた理由その1)

 

パワハラというのは「俺にできてるんだから、お前もやれ」「わからないことがあったら聞いて→そのくらい自分で考えろ」などがあります。

また残業をしたときは次長経由で部署内承認を得るのですが、この承認が通りません。

なぜなら「他の人は申請してないよ?」などとほざきやがるのです。

こんな名言も言われました「20:30からが残業だよな~w」(なお定時17:30)

 

ちなみに大体毎日2~3時間ほど残業していました。しかも特に残業してまでこなす仕事は無いのですが、周りの人が帰らないため空気を読んでしかたなく残業していたという感じです。

そしてこの残業代は一度も支払われておりません。(辞めた理由その2)

 

・同期について

同期は私含めて4人いました。

内訳はこうです。

・公務員専門学校卒業後、技術職として入社

・高校卒業後、事務職として入社

・4年生大学卒業後、営業職として入社

・短大卒業後、営業として入社

 

技術職と事務職の人は普通に仕事してました。

 

ですが4年制大学卒業の女性がとんでもなかったです。あまりにも仕事ができない(具体的に言うと電話できない、無断欠勤など)人でした。

また営業職として入社すると、地区ごとの担当が割り振られ年間の予算目標も与えられるのですが、私が年間売上8000万、粗利目標1200万というノルマでした。この女性は予算目標無しでした。(大卒ェ...)

 

そんな仕事できない状態でも私よりも給料が高いんですよね~。しかも定時で帰りやがる(ブラックの思考)(辞めた理由その3)

 

 

・取引先について

先程書いたように、営業は地区ごとの担当が割り振られます。ちなみになんですが、私の地元は東北で、無駄に本州で1番でかい県です。そんな地元なんですが、

・金のある企業が少ない

・金のある企業は大体本社東京(決済権も東京)

介護施設が圧倒的に多い

・新しい建物が出来たと思ったら、だいたいパチンコ屋か介護施設

というような感じでした。

 

そんな状況ですので中々売を上げるのが難しいんですよね。

そういう状況もあって、契約さえ取れれば良いというマインドが形成されていきます。

私は無意識のうちにそういうマインドになってしまっていたようです。(当時付き合っていた彼女に指摘されて気づきました。ありがとう。)

契約を取るために口当たりの良い言葉だけ並べて、半ば詐欺のような営業になっていたのかもしれません。(双方合意の上で契約してたから詐欺ではないよ)(辞めた理由その4)

 

 

 

ここまでをまとめると、普遍的なブッラク企業でイメージされることは大体カバーしているかと思います。

 

・給与事情について

給与事情を話すと、当時は3万円で8畳1K、風呂トイレ別プロパンガスのアパートに住んでいました。給料は手取りで123000円(交通費除く)でしたが、なんとか車を持ちながら生活できるレベルでした。ただ贅沢は出来ないのでコンビニでご飯を買うのもできませんでした。

毎月固定の支出が

アパート30000

ガス10000(プロパンなので高い)

電気4000(寒冷地なので冬は更にかかる)

水道2500

ガソリン10000

ケータイ・インターネット15000

食費平均20000

奨学金15000

といった感じで、貯金なんてできませんでした。

また残業代が払われていないため、時給換算すると最低賃金を割っていました。(辞めた理由その5)

また月に一度、土曜出勤がありました。この出勤分も給与として払われていませんでした。

 

こんなカツカツな状況だったので、ボーナスには一縷の望みを託していました。

実際払われたボーナスは、

夏 5万

冬 給与1ヶ月分

でした。(辞めた理由その6)

 

 

・退職決意から実際に辞めるまで

 短大卒業した年の4月1日から、翌年の3月15日まで前職には所属していました。

退職を決意したのは、冬のボーナスが支給された翌日です。(支給日の前日が誕生日だったこともあり、wktkしていた)

求人情報には2ヶ月分と記載してあったので、まあ2ヶ月分は出るだろうな~と思っていました。さらに自分で言うのもアレだけど、営業成績は悪くなかったのでインセンティブとかもあるかもな~と思っていました。

結果は散々でしたねw

 

 

いろいろと退職について調べて、「退職届」は非常に強い意味を持つので「願」にしたほうが良い。辞表というのは公務員が使うやつ。いきなり社長に出すのはイメージ悪い。とかいろいろ調べました。今思うとくそくらえですが。

 

で、「退職願」を上長に提出しました。

OJT(笑)の次長に提出しようとしたところ、先に主任に見つかってしまったので

主任→課長→次長→部長→社長

というフローで流れていくことになりました。

見事な日本企業感。このスピード感が成長には必要らしいです。バカか?

12/19付けで提出しました。希望退職日は1/15です。(給与の締めが毎月15日のため)

しかし実際に退職したのは3/15です。

 

このラグは、次長が手元で退職願を止めていたことによって発生しています。

 

一向に話が進まないので、次長に直接切り出してみると「退職は認めない」と言われました。(この時1/17日とかそのくらい)

別室に案内され、営業部長と次長から引き止めに合いました。

いろいろと含蓄あるありがたいお言葉()を頂いたのですが、

「うちでやっていけないと、他ではやっていけないよ」というお約束フレーズをいただきました。なおそのセリフを放った部長と次長は、高校卒業以来1社でしか働いていません。会社愛が強いんですね。

この引き止めは1ヶ月以上続きました。(この時点で2月)

毎日ストレスがやばかったです(粉ミカン)

 

 

で、なんやかんやあっていざ退職が決まったわけなんですが、社内で無視されまくるやつが発生します。引き継ぎのために話しかけても「今忙しい」とかいろんな理由で断られます。

上長からは「辞めるんだったら責任もって引き継ぎしろよ」とか言われます。馬鹿か??

 

 

私が抱えていた顧客でかなりの上客がいたので、流石に3月に入ってからは引き継ぎも行えました。ほんと馬鹿。

しかも3月になってようやく引き継ぎが始まったので有給を消費させてもらえませんでした。

 

 

・退職日当日について

 退職日当日は特に送別会とかがあるわけでもなく、残業で幕を閉じました。バカか?

私の地元は3月でも雪が降るのが珍しくない地域です。退職日当日も雪が降っていました。

最後の仕事は「スーパーへの金庫の納品、設置作業」です。

確かEIKOの金庫でした。定価で50万円くらいのやつ。

床に穴を開けて固定するので基本的に作業は閉店後です。

そのスーパーの閉店時間は22:00でした。

私の最後の仕事が終わったのは翌日の午前2時でした。

はい。もちろんこの作業に伴う残業代や手当は発生しません。

 

 

 

 

・最後に

前職は絵に描いたようなブラック企業です。感想としては「辞めてよかった」以外に出てきません。

 

転職は3年経ってからとかいいますが、絶対そんなことは無いです。なんなら第2新卒とかで採用している企業もたくさんあるので、ヤバイと思ったらすぐに逃げたほうが良いです。

いざ会社を辞めようと思うと、周りから「忍耐力が無い」とか「会社辞めてどうするの」とか言ってくる人がいるかもしれません。

周りのことなんて気にしてはダメです。一番大事なのは自分自身です。周りの人は自分の人生に責任を持てないので、取り合うだけ無駄です。

 

もう一度だけ書いておきます。

一番大事なのは自分自身です。

 

 

現に1年未満で転職した私がいます。

今は地元を出て東京都内で死んだ目で仕事しています。

今の会社はSIerですが、私は開発をしているわけではないです。テクノロジーの敗北を実感する毎日ですが、なんとか生きています。

今の会社も辞めて、また転職しようと考えています。セキュリティベンダではなくユーザ企業へ転職したいです。

フォレンジックができる人材を雇ってみたいユーザ企業の方、Twitter : @HASH1da1 までぜひ連絡ください。

 

 

もし就活中の人がいれば、「本当にその会社でやりたいことができるのか」を見極めてほしいです。今の時代、インターネットで調べれば大概の情報は得られます。

 

もし転職活動中の人がいれば、「一緒にがんばりましょう」と言いたいです。

 

 

 

こんなブログですが、この記事で私の過去を供養できればと思います。。。笑

 

 

 

PCスペックを晒してみる

こんにちは。台風なので引きこもっているはしだいです。(いつもどおり)

今日は暇なので、私のメインPC(自作)のスペックを紹介します。
ありあわせのパーツで組んでいるので、だいぶ型落ちしてますがバリバリ使えてます。

 

CPU
Intel Core i7 4770

M/B
ASUS Z97-Pro Gamer

RAM
PC3-12800 16GB (たしかCFD製)

GPU
GTS 450 1GB

電源
Silver Stone 80Plus Gold 750W

SSD(System)
Samsung 250GB 850EVO

SSD(DATA)
Western Digital Blue 500GB

HDD(DATA)
Western Digital 2TB 5400RPM

HDD(DATA)
Western Digital 1TB 7200RPM

HDD(DATA)
Western Digital 1TB 7200RPM

Case
Fractal Design Define R5


CPUとメモリは、もともと使っていたDELLのOptiplex 9020からの使い回しです。
マザーはアキバのツクモで中古で安く買いました。
SSDとHDDは適当に家に転がっていたものや、アキバのパソコン工房Buy Moreのセール等で安く組んでます。

PCの総額はおそらく10万円行かないくらいですね。


そろそろ新しいPC組みたいんですけど、絶賛金欠なのでいつになるのやらという感じです。


組みたいスペックも晒しておきます

CPU
AMD Ryzen7 2700X

CPU Cooler
NZXT Kraken X72

M/B
GIGABYTE X470 AORUS ULTRA GAMING

RAM
Corsair PC4-25600 32GB

SSD(M.2 NVMe)
Western Digital Black 256GB

SSD(DATA)
Western Digital Blue 500GB

GPU
GIGABYTE GTX1070 Ti Gaming 8G


こんなもんですかね。
希望スペックで組むと20万コースなので道のりは長いですね。。。。


別にゲームはやらないのでグラボは映像出力ができればいいので、GTX1050Tiとかでもいいかもしれません。
というかRyzen 2世代って映像出力できるんですかね?
たしか第1世代はできなかったと記憶してるんですが。。。

 

あと持ち運び用にノートPCもちゃんとしたやつが欲しいですね。
今持ってるのはジャンクで購入したHP Elitebook(第2世代Core 2 Duoのやつ)と
ジャンクで通電しないDELL Latitude E7250なんですよね。
ノートPCはLenovo ThinkPad X280がほしいですね。

 

夢は大きくなるけど、収入は増えないはしだいでした。。。。。

 

マルウェア感染が疑わしい際の応急調査 レジストリ編

マルウェア感染が疑わしい際、調査すべき項目がいくつかあります。

今回はフォレンジックの観点から有効(と思われる)ポイントをいくつか紹介します。

 

今回はレジストリ編です。

 

 


レジストリとは

 

レジストリにはユーザやマシンの設定情報が格納されている、中央階層型のデータベースです。
システム起動時にメモリに組み込まれます。

格納されるデータにはコンピュータ全体の設定やユーザの行動履歴等があります。
例えばOSの設定、ソフトウェアは設定やファイルへのアクセス履歴やソフトウェアの実行履歴等です。

基本的にはレジストリはシャットダウン時に更新されます。


レジストリファイルの入手方法については下記記事をご参照ください。

 

lip-slips.hatenablog.com

 

 


レジストリ調査に有用なツール

 

レジストリ調査には有用なツールがいくつかあります。
参考までにURL等を共有しておきます。(全部フリーツールです)

 

- Regripper

github.com

有名なレジストリ解析ツールです。
使い方に関しては下記ブログが丁寧に紹介してくれているのでご参照ください。
(決して手抜きではないんだからねっ!)

 

kieft.hateblo.jp

 


- Windows Registry Recovery

http://www.mitec.cz/wrr.html

 

インストール不要ですぐ実行できるレジストリ解析ツールです。
インポート機能に対応しており、左側のメニューから直感的に操作できます。
パース時にCPUが高付加で張り付くのが難点。

 

 

- KaniReg

github.com

日本語マニュアルが付属している。
できるだけユーザの操作が必要なく使用できる。UIも日本語でわかりやすい。

 


- Registry Viewer

accessdata.com

以前このブログで紹介したFTK Imagerの開発元であるAccessData社製のレジストリ解析ツール。無料で使えるデモモードだと一部機能に制限がかかるが、簡単な調査であれば十分。
強力な検索機能や、16進数値の変換等、調査時における様々な便利機能が搭載されている。
おすすめ!

 

 


マルウェア感染時に調査すべきレジストリハイブ

 

マルウェア感染時にもレジストリ調査は有用です。
自動実行に登録されていないか、ユーザークリックにより実行されたのか、等を判別することができます。
レジストリ調査時に頻繁に見る箇所をいくつか挙げようと思います。

 


Windows起動時の自動実行の設定


PC起動時や、ユーザーログオン時等に自動で実行される設定が登録されているかどうかについては、下記ハイブを確認します。
マシン全体と、特定のユーザーログオン時で格納されているハイブが異なります。

 

マシン全体
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run or RunOnce or RunOnceEx or RunServices


特定ユーザーログオン時
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run or RunOnce or RunOnceEx or RunServices


このキーにフルパスで登録されています。

 

 

 

インストールされたソフトウェアの調査

HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\Uninstall

 

コントロールパネル > プログラムと機能 に表示されるプログラムの場合はこのキーに設定が登録されています。
しかし通常マルウェアはこのキーに登録されるような手法は用いません。
その場合はSOFTWAREレジストリの未使用領域を対象にデータ復元等を行い、過去にインストールされたソフトウェアの有無を調査します。

 

基本的には以上の項目をチェックします。


ユーザ自身がファイルクリックしたことによる感染の場合ですと、
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
等を確認したりします。
また
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
を確認することで、「ファイル名を指定して実行」によって実行されたソフトウェアの情報を確認できます。

 

 

 


終わりに

今日はレジストリ編ということで、マルウェア感染時に確認すべきキーや、調査に有用なツールを紹介しました。

私はコードが読めないし、書けないのでリバースエンジニアリングやら逆アセンブルやらデコンパイルやらはよくわかりません。
将来的にはIDAをブンブンのブンしてマルウェア本体の解析もできるようになっていきたいですね。

 

マルウェア感染が疑わしい際の応急調査 prefetch編

マルウェア感染が疑わしい際、調査すべき項目がいくつかあります。

今回はフォレンジックの観点から有効(と思われる)ポイントをいくつか紹介します。

 

 今回はプリフェッチ編です。

 

プリフェッチとは名前の通り

pre(事前に)fetch(持ってきた)情報が格納されているデータになります。

 

 

プリフェッチは以下の特徴を持っています。

・プログラムが起動された10秒後に、C:\Windows\Prefetch に [プログラム名-フルパスから算出されたハッシュ値.pf]のファイル形式で保存されます。
・フルパスから算出されたハッシュ値命名規則としているので、プログラム名が同じでもハッシュ値が異なれば、違うパスから実行されたということがわかります。
・プリフェッチには、プログラムのフルパス、実行日時、累計実行回数、プログラムがプロセス実行のために読み込んだモジュール(dll等)などの情報が記録されています。
コマンドラインや自動実行(autorun.inf等)によって実行されたプログラムもプリフェッチに記録されます。
SSD搭載PCではプリフェッチが無効化されている場合があります。(プリフェッチはプログラムを高速に実行するための機能であり、ロード時間が短いSSDにおいては必要とされない場合があるため。)

 

Prefetchについては下記参照

Misinformation and the The Prefetch Flag – Funny, It Worked Last Time

 

Prefetch - ForensicsWiki


(Forensicswiki見れば大体なんでも書いてある。すごい。)

 

 

プリフェッチはバイナリエディタ等で中を見て解析していくことができますが、慣れていない人だととっつきにくいです。(私もできません)

なのでツールを用いてパースした情報を見ていこうと思います。

 

WinPrefetchViewというツールを用います。

www.nirsoft.net

 

ダウンロード&解凍して任意のディレクトリに格納してください。

 

ツールを実行すると、実行している端末のプリフェッチを自動的にロードしてパースしてくれます。インポート機能はないので、解析したい端末の上で動作させることになります。

※プログラム実行によりデータ改変が起こるため、証拠保全で万全を期すためには実行しないでください。トリアージ程度であれば、書き込み防止措置を施して実行してください。

 

ツール実行するとプリフェッチを自動でパースしてくれます。

またプログラムがロードしたdll等も一覧で表示してくれます。

 

今回は検証用に立てたWindows10 ProのVM環境のprefetchを表示しています。

FTK Imager等が実行されたことが確認できます。

f:id:lip-slips:20180915215505p:plain

図1 WinPrefetchView

 

 

これにより、直近で作成された128件の.pfファイルを解析することができます。

マルウェア等が実行されていた場合の手がかりになります。

例えば、正規プログラムの名前を語っているマルウェアなどであれば.pfファイルの名前から解析したり、格納ディレクトリを特定できたりします。

またロードしたモジュールも表示されるため、どんな挙動を行ったのかを簡易的に調査できます。

過去に私が調査したものですと、firefox.exeに偽装したプログラムが動作しており、CCleaner.exeをロードしデータの削除を行っていたというものがありました。対象は確かWannaCryの亜種だったと思います。(うろ覚え)

 

 

 

このようにプリフェッチを解析することで、マルウェア感染の際の調査に応用できます。

闇雲に調査を行うよりも、こうしたツールを用いてトリアージを行うことで効率的に調査することができます。

 

 

気が向いたらレジストリ解析編も書こうと思います。

 

 

 

FTK Imagerでデータ保全 運用編

前回の記事でFTK Imagerは以上と言ったな?

あれは嘘だ。

 

というわけで

 

データ保全ツールである、FTK Imagerについて紹介します。

無料で使えるソフトウェアでありながら、実際の現場でも頻繁に使用されている高機能なイメージングソフトです。

 

今回は運用編として、実際の保全の現場におけるFTK Imagerの便利機能を紹介します。

※紹介されている手法で生じる不都合に対して、筆者は一切の責任を負いません。

※データ取得を試行する際は、自分の環境やインシデントレスポンスの現場等他人に迷惑がかからない環境で実行してください。

 

今回紹介するのは、FTK Imagerの便利機能です。

その便利機能とはUSBから起動できる、というアレです。

手順を紹介します。

 

 

まずFTK Imagerをダウンロード&解凍します。

手順はダウンロード編で紹介したとおりです。

lip-slips.hatenablog.com

 

 

その後、実行ファイルを叩きます。

 

 

FTK Imagerはローカル端末にインストールもできますが、USB等のリムーバブルメディアにもインストールして実行することができます。

これにより、持ち運び可能な保全ツールとして運用できます。

もちろんFTK Imagerの全機能を使用できます。

 

インストール手順を紹介します。

 

まずは解凍したFTK Imagerのインストーラを管理者権限で実行します。

 

f:id:lip-slips:20180911211125p:plain

図1 インストール先の変更

 

インストール先を指定する画面になったら、ウインドウ右側の[Change]をクリックします。

今回はJドライブとして割り当てられている、ELECOM製32GBのUSBメモリにインストールします。

※なんで32GBかというと、昨今のPCではメモリ8GBが以上ないと人権が無い以上であるというのが非常に多いからです。

容量に余裕のあるUSBメモリを用いることで、FTK Imagerのインストール並びにメモリダンプ、レジストリの保存先をUSBメモリに指定することができます。

 

リムーバブルメディアを保存先に指定することで、ローカルデバイス(OSがインストールされているデバイス)に加えられる変更を最小限に抑えることができます。

どういうことかというと、未使用領域やスラックスペースへの上書きを抑止することができます。(これにより削除データの復元の可能性が上がります。

※1

f:id:lip-slips:20180911213640p:plain

図2 JドライブにマッピングされているUSBメモリを指定

 

OKを押下してインストール先を指定します。

その後は画面に従ってインストールしていきます。

 

 

インストールが完了すると先程指定したインストールしたデバイスにインストールされていることが確認できます。

 

※ローカル端末にインストールした

"C:\Program Files\AccessData\FTK Imager

を直接リムーバブルメディアにコピーすることでも使用できます。

 

f:id:lip-slips:20180911222159p:plain

図3 J:\FTK Imager

 

インストールしたディレクトリを開き、FTK Imager.exeを実行するとFTK Imagerが実行されます。

その後は保全編、発展編で紹介した内容が使用できます。

lip-slips.hatenablog.com

lip-slips.hatenablog.com

 

 

この機能の良いところはFTK ImagerをインストールしたUSBメモリを作成しておけば、Windows 64bit機であれば対応できるところです。

例えばアンチウイルスが検知したタイミングあれば、USBメモリにインストールしたFTK Imagerを起動することでメモリダンプを取得してからLANの切断といった処置を行うことができます。

メモリダンプを取得していれば、その後の調査においてC2の通信先であったり、親プロセス、インジェクションされたプロセス等のみならず、タイムライン調査も可能になります。

 

Cドライブ等を保全していればディスクフォレンジックの際にも有意な情報になります。

またレジストリを取得していれば、userdiffの情報やsoftwareのレジストリも取得しているので、インストールされたソフトウェア、自動実行等の情報が判明する可能性もあります。

メモリの保全レジストリの取得については下記を参照してください。

lip-slips.hatenablog.com

 

例えばデータの保全だけは自社で行い、調査についてはベンダに投げる。といったような運用が可能になります。

ベンダには中間報告等をあげてもらえばHPに掲載する等の措置をとることができ、投資家や株主の対策にもなり得ます。

 

 

 

環境によってはFTK Imager.exe実行時にいくつかのDLL不足により実行できない場合があります。

その際はVisual C++再配布パッケージがインストールされているコンピュータの

C:\windows\System32 に格納されている、
・MSVCP140.dll
・VCRUNTIME140.dll
・mfc140u.dll
をUSBデバイス等のFTK Imagerフォルダ直下にコピーすることでFTK Imagerをリムーバブルメディアから実行することができます。

 

私が確認している限りでは、ナチュラルなWindows10 Enterprise環境ではVisual C++がインストールされていないので実行できないことを確認しています。

 

 

 

FTK imager.exe実行した後は、必要に応じてデータ保全を行ってください。

 

 

今日はFTK Imagerの便利機能について紹介しました。

これ以外にもフリーツールで便利なものがあったら紹介したいと思います。

 

 

 

※1 9/12追記

 

 

 

成し遂げました。

こんばんは。はしだいです。

 

 

このブログの月間PVが100超えました。

というかここ3日で超えました。

 

DWUお嬢様の記事

ディスク証拠保全の記事

FTK Imagerの記事

 

で超えました。

 

 

このブログを始めるに当たり、目標の一つが100PV超えることだったので達成感があります。

 

 

記事の伸びが良いのはVTuberの記事ですね。

 

 

DWUお嬢様と月ノ美兎委員長の対決見ました?

最高じゃないですか?(語彙力の消失)

 

ボーボボとエロゲの話してる委員長可愛くないです?

DWUお嬢様の顔が良すぎません?

 

 

まだ見てないオタクは見て。

www.youtube.com

 

3Dだから回れるDWUお嬢様と、腕が回らない委員長かわいくないです??

 

あと田中のおっさん、見てます?

www.youtube.com

 

 

待たせたな。

って言ってほしすぎません?

 

 

 

今週は怒涛です。

 

 

今週の楽しみは水曜に行われる催しですね。

なんだかんだぼきはセキュリティがすこなのかもしれません。

 

最近は社外活動に力を入れています。

というのも、私はベンダになるのですが致命的な問題が発生しています。

 

 

 

ユーザーの運用がわからない

 

これを解決するためにもWG等の活動にはできるだけ参加したいと思ってます。

勉強会だと個人の活動という感じがあって、それはそれで参加してみたいんですけどね。

 

 

 

 

 

 

 

先日氷結ストロング 500ml×24本を購入したんですが、

生活水準の下がる音が聞こえます。

年明けから休肝日を設けれていないのですが、流石に来週の健康診断の前日は控えめにしておきたいと思います。

 

 

健康診断まで猶予があるので、今日も酒を飲みます。

 

 

FTK Imagerでデータ保全 発展編

データ保全ツールである、FTK Imagerについて紹介します。

無料で使えるソフトウェアでありながら、実際の現場でも頻繁に使用されている高機能なイメージングソフトです。

 

今回は発展編として、メモリ保全レジストリの取得方法を紹介します。

 

 

メモリの保全が求められる場面としては、ウイルス感染時が考えられます。

親プロセス、子プロセスがわかれば相関関係も求められますし、プロセス実行でロードされているプログラムのパスが分かればその後の調査をスムーズに進められます。

しかしメモリ取得には考えなければいけない点があります。

 

Windows10にではメモリアクセスによるBSoDの発生率が高いです。(Windows7に比較して)

フリーでメモリ取得できるツールは多々ありますが、BSoDを発生させずにダンプできるツールはそこまで多くないようです。

企業等での使用や、自作erの方ですとWindows 10 Enterpriseを使用している方も少なからずいらっしゃると思います。

Windows10 Enterpriseに搭載されているセキュリティ機能である、Crendential Guardが有効になっていると大概のツールではメモリダンプ取得時にBSoDが発生します。

 

Credential Guardに関しては下記参照してください。

docs.microsoft.com

 

FTK Imager並びにFTK Imager Lite(32bit)もCredential Guard有効環境ではBSoDが発生します。

BSoD回避できるツールとしてはDumpItがあるようですが、検証していないので詳細は省きます。

 

ですので今回はCredential Guardが有効になっていない端末で、FTK Imagerを用いてメモリを取得する方法を紹介します。

 

 

FTK Imagerを起動し、ツールバーにあるRAMのマークをクリックします。

クリックすると保存先やファイル名の設定画面が表示されます。

 

必要事項を入力してCapture Memoryをクリックすると、メモリの取得が開始されます。

手順としては以上で、非常に手軽です。

 

f:id:lip-slips:20180909223033p:plain

 

図1 Memory Capture設定画面

 

 

メモリの取得方法としては非常に簡単ですが、あくまで「Capture Memory」実行時に実行されているプロセスのみが保存されるという点に関してはご留意ください。

確実に取得したいプロセスがあるときは、Process Explorer等を使用してターゲットプロセスをサスペンドするなどしてください。

 

Process ExplorerWindows Sysinternalからダウンロードできます。

docs.microsoft.com

 

 

メモリ取得は以上です。

 

 

続いてFTK Imagerの便利機能のObtain Protected Filesを紹介します。

Obtain Protected Filesとは名前の通り、通常では保護されていて取得することができないファイルを取得する 機能です。

C:\Users\USER\NTUSER.DAT

C:\Windows\system32 以下のSAM、SECURITY、software、system等を取得する機能です。

 

 

FTK Imagerを起動し、ツールバーのObtain Protected Filesをクリックします。

(メモリ取得の右隣です。)

f:id:lip-slips:20180909223802p:plain

図2 Obtain Protected Files

 

クリックすると下記画面が表示されます。

保存先やオプションの設定ができます。

設定できるオプションとしては

・ユーザーログオンPasswordの解析に必要な最小限のファイルのみ取得

・Password解析に必要なファイルとすべてのレジストリの取得

 

の2種類があります。

今回はPassword recovery and all registrty filesを選択します。

 

f:id:lip-slips:20180909223902p:plain

図3 保存先とオプションの設定

 

必要事項入力したら、OKを押下します。

取得の進捗はプログレスバーで表示されます。

完了したら、指定した保存先にレジストリファイルが保存されています。

 

f:id:lip-slips:20180909224210p:plain

図4 取得したレジストリファイル

 

 

フォレンジック調査においてはレジストリ解析は重要です。

softwareを解析するとインストールされているファイルの一覧や、自動実行のファイル等の情報が入手できます。

systemはタイムゾーンやマシンの設定に関する情報が入手できます。

その他の情報については各自必要に応じて調べてください。

 

これらのレジストリファイルを一括で取得できるのはFTK Imagerの強みです。

 

 

 

今回は発展編として、メモリ取得、レジストリ取得について紹介しました。

FTK Imagerに関してはこの記事を持って一旦終了とさせていただきます。