一方的に書き連ねるブログ

航海してすぐ後悔

俺がよく見てるYouTuberを一方的に書き連ねていく

VTuber、いいよね。はしだいです。

タイトルのまんまです。 そんじゃ、いくぞ。

VTuber

DeepWebUnderGround

漫画村燃やした元エロゲ声優。
浅瀬ちゃぷちゃぷ

www.youtube.com

名取さな

DWUの飼い主。
ポケモンピカチュウなでてるとき、最高に限界オタク。

www.youtube.com

HimeHina Channnel

モデルのつくりがすごい。
コンビ。
田中の声が輝夜月に似てる。

www.youtube.com

実在編

別にVTuberが実在してないっていうワケではない。

東海オンエア

どうせみんな見たことあるでしょ。
小学生の昼休みの教室の後ろの方な感じ。

www.youtube.com

おさかな大将の釣りと料理と時々ギター

料理の人。
夜中に見ると飯テロ。
眠れないときによく見てる。そんで腹減って後悔する。

www.youtube.com

にゃんたこ

女版俺。
昼から酒飲むところ最高に共感できる。

www.youtube.com

Black Beard Projects

海外のDIYの人
サビ落とす動画めっちゃすき
物作りも最高。このチャンネル見ながら寝落ちしてる。

www.youtube.com

ゲーム実況系

ゲーム実況見て、そのゲームをプレイした気になるの、あるよね~

草の人

CoD BO2の頃から見てる。
ゆっくり実況。
任せロッテ明治ブルガリアヨーグルト
最近、プロゲーマー(笑)になった。

www.youtube.com

ハタケ

ゆっくり実況の人。
ネタが面白い。
テンポよくてすこ(語彙力)

www.youtube.com

演奏系

Gyato Seo

韓国人ギタリスト。
Roseliaのコピー、いいぞ
六兆年と一夜物語のDjentアレンジ聞いて

www.youtube.com

Yohei Kimura

地元、岩手のスーパーギタリスト。
うますぎて震える
オリジナルのDaybreakが最高。
しぶりん

www.youtube.com

以上。 気になったのあったら、ぜひ見てね。

12時間勤めた弊社を退勤しました。

現職での最長労働時間を更新しました。はしだいです。

転職エントリ という存在

最近TwitterのTLを賑わせている「日本電信電話株式会社を退職しました」関連のエントリがある。 事の発端は"NTTを退職し、Googleへ転職しました。"というアレである。

最初の記事が投下されてからしばらくは「メモリは16GB~が人権である」というリベラルエンジニア達の主張がTLを賑わせていた。 これには私は大いに賛同している。

参考までに私の業務用PCのスペックを晒しておきます(誰得だよ)
CPU: i3-6100
RAM:DDR4-2400 8GB
HDD:Western Digital BLue 500GB 5400rpm
(自宅用PCについては PCスペックを晒してみる - 一方的に書き連ねるブログ を参照してほしい)

正直キツイです。
普段業務ではVMを起動したりするんですが、CPUが2C/4TなのでVMに割り当てるとホストが死にかけます。
もちろんゲストも死にかけます。
メモリはDDR4なのでなんとか動作している感はありますが、ホストでChromeOutlook立ち上げた状態でVM起動するとメモリが90%張り付きます。
あとはディスクI/OがTrend Micr○によって食いつぶされます。(これだけはマジで許せない

6年勤めたNTT研究所を退職した記事のあと、NTTを辞めてMSに転職した人の記事が投下された。
その後12年勤めたNTTを辞めた人の記事が投下され、5年勤めてるNTTを転職する気のない人の記事が投下された。
そして現在、NTTの退職から700年ほど経過した記事が投下されている。
NTTの退職より700年ばかり経ちぬ

白状すると、この記事も便乗である。(タイトルでわかる)

私自身の話

ちょっと前に、ブラック前職を退職したときの話を書きました。

lip-slips.hatenablog.com

現職に転職してからは、月の平均残業時間が0.75時間です。
そんな私ですが、本日は3時間ほど残業しました。
本日の残業によって、月平均が1時間超えそうです。
由々しき事態ですよ。

今の会社に移ってからは、残業代が支払われることに感動したりしていたのが懐かしく感じます。(当たり前のことに感動できる。そういうことに俺は幸せを感じるんだ。) 当時の私は純粋でした。。。(遠い目)

冬の賞与の時期ですね。 ボーナスが支払われるとちらほら目につくのが「退職者」の存在です。 弊社でも今年度で2名ほど退職者が出ます。

新しい会社で自分を成長させる。 素晴らしいことだと思います。

新しい舞台でも輝けることを願っておりませんす。

引き継ぎさえなければ。

一応私は、「エンジニア」職で入社しているんですよ。
それがなんの因果か現在では「セールス」がメインみたいになってます。
去年の退職者の引き継ぎをしてからというもの、完全にエンジニア:営業が2:8くらいになりました。
そして今年の退職者の引き継ぎも何件かある(しかもボリュームがでかい)ので、比率が1:9くらいになりそうです。

自分で言うのもなんですが、私は完全にエンジニアだと思ってます。(実際そう) エンジニアでありたいと思ってます。
それを前職が営業(しかもブラック)だから、引き継ぎさせたろっていう上の意向で営業をやらされているわけですね。
とてもつらい(横山光輝三国志霊帝

まあこういう事情があって、私も転職を考えているわけですよ。
都内でフォレンジックエンジニアを雇いたいユーザー企業さんいらっしゃいましたら、ぜひ声をかけてください。
基本的にTwitterが一番はやく反応できます。 Twitterとメールアドレスは下記URLに記載してあります。

HASH1da1.io

終わりに

つらつらと取り留めのない話を書きなぐってきましたが特にシメとかありません。
某記事であれば、「転職先はGoogleです。」 っていう、最高にカッコいい一文で締められてるのに、このブログときたら....

やるせない思いを肴に、今宵も酒を飲みます。。。

ブラック前職を退職したときの話

こんばんは。はしだいです。

 

 

私は今都内のSIerの会社のセキュリティの部署で働いています。

今の会社でもいろいろな理由によって転職を考えているわけですが、ふと「前職を辞めた」ときの話でも書いてみようかと思ったので書きます。(前フリが長い)

あと、世間の大学生(3年生がメインなのかな?)も就活を意識し始めると思うので、私みたいにならないように先輩としてのアドバイスです(謎の上から目線)

 

・前職について

私は短大卒です。地元の短大卒業後、地元の事務用品販売の会社で営業として働いていました。

事務用品といってもペンやコピー用紙だけでなく、オフィスカーペットやLED照明やらコピー機やらパソコンやらを売っていました。

 

ブラック前職の初任給は大卒17万円程度、短大・専門卒が16万円程度でした。

都内の企業の初任給とくらべても低いですね。

 

前職は地元では割と名前の通っている企業で、周囲の人からは「いいところに入ったね」なんて言われていました。

実際求人情報では

・賞与あり(夏・冬 平均2ヶ月分)

・各種手当て(交通費、残業、早出)

・初年度有給7日

 

などと割と普通の福利厚生(使えるとは言ってない)が用意されていました。

 

 

この「使えるとは言ってない」というところがミソです。

 

 

・会社の人間関係について

高校卒業後、進学するか就職するかを選択します。前職では圧倒的に高卒の人が多かったです。

高校卒業してからずっと仕事をしてきて誇りを持っている人たちでした。

一応OJTのようなものあって、私のメンターは次長(部署で2番めに偉い)が努めてくれました。

そこでパワハラを受けました。(辞めた理由その1)

 

パワハラというのは「俺にできてるんだから、お前もやれ」「わからないことがあったら聞いて→そのくらい自分で考えろ」などがあります。

また残業をしたときは次長経由で部署内承認を得るのですが、この承認が通りません。

なぜなら「他の人は申請してないよ?」などとほざきやがるのです。

こんな名言も言われました「20:30からが残業だよな~w」(なお定時17:30)

 

ちなみに大体毎日2~3時間ほど残業していました。しかも特に残業してまでこなす仕事は無いのですが、周りの人が帰らないため空気を読んでしかたなく残業していたという感じです。

そしてこの残業代は一度も支払われておりません。(辞めた理由その2)

 

・同期について

同期は私含めて4人いました。

内訳はこうです。

・公務員専門学校卒業後、技術職として入社

・高校卒業後、事務職として入社

・4年生大学卒業後、営業職として入社

・短大卒業後、営業として入社

 

技術職と事務職の人は普通に仕事してました。

 

ですが4年制大学卒業の女性がとんでもなかったです。あまりにも仕事ができない(具体的に言うと電話できない、無断欠勤など)人でした。

また営業職として入社すると、地区ごとの担当が割り振られ年間の予算目標も与えられるのですが、私が年間売上8000万、粗利目標1200万というノルマでした。この女性は予算目標無しでした。(大卒ェ...)

 

そんな仕事できない状態でも私よりも給料が高いんですよね~。しかも定時で帰りやがる(ブラックの思考)(辞めた理由その3)

 

 

・取引先について

先程書いたように、営業は地区ごとの担当が割り振られます。ちなみになんですが、私の地元は東北で、無駄に本州で1番でかい県です。そんな地元なんですが、

・金のある企業が少ない

・金のある企業は大体本社東京(決済権も東京)

介護施設が圧倒的に多い

・新しい建物が出来たと思ったら、だいたいパチンコ屋か介護施設

というような感じでした。

 

そんな状況ですので中々売を上げるのが難しいんですよね。

そういう状況もあって、契約さえ取れれば良いというマインドが形成されていきます。

私は無意識のうちにそういうマインドになってしまっていたようです。(当時付き合っていた彼女に指摘されて気づきました。ありがとう。)

契約を取るために口当たりの良い言葉だけ並べて、半ば詐欺のような営業になっていたのかもしれません。(双方合意の上で契約してたから詐欺ではないよ)(辞めた理由その4)

 

 

 

ここまでをまとめると、普遍的なブッラク企業でイメージされることは大体カバーしているかと思います。

 

・給与事情について

給与事情を話すと、当時は3万円で8畳1K、風呂トイレ別プロパンガスのアパートに住んでいました。給料は手取りで123000円(交通費除く)でしたが、なんとか車を持ちながら生活できるレベルでした。ただ贅沢は出来ないのでコンビニでご飯を買うのもできませんでした。

毎月固定の支出が

アパート30000

ガス10000(プロパンなので高い)

電気4000(寒冷地なので冬は更にかかる)

水道2500

ガソリン10000

ケータイ・インターネット15000

食費平均20000

奨学金15000

といった感じで、貯金なんてできませんでした。

また残業代が払われていないため、時給換算すると最低賃金を割っていました。(辞めた理由その5)

また月に一度、土曜出勤がありました。この出勤分も給与として払われていませんでした。

 

こんなカツカツな状況だったので、ボーナスには一縷の望みを託していました。

実際払われたボーナスは、

夏 5万

冬 給与1ヶ月分

でした。(辞めた理由その6)

 

 

・退職決意から実際に辞めるまで

 短大卒業した年の4月1日から、翌年の3月15日まで前職には所属していました。

退職を決意したのは、冬のボーナスが支給された翌日です。(支給日の前日が誕生日だったこともあり、wktkしていた)

求人情報には2ヶ月分と記載してあったので、まあ2ヶ月分は出るだろうな~と思っていました。さらに自分で言うのもアレだけど、営業成績は悪くなかったのでインセンティブとかもあるかもな~と思っていました。

結果は散々でしたねw

 

 

いろいろと退職について調べて、「退職届」は非常に強い意味を持つので「願」にしたほうが良い。辞表というのは公務員が使うやつ。いきなり社長に出すのはイメージ悪い。とかいろいろ調べました。今思うとくそくらえですが。

 

で、「退職願」を上長に提出しました。

OJT(笑)の次長に提出しようとしたところ、先に主任に見つかってしまったので

主任→課長→次長→部長→社長

というフローで流れていくことになりました。

見事な日本企業感。このスピード感が成長には必要らしいです。バカか?

12/19付けで提出しました。希望退職日は1/15です。(給与の締めが毎月15日のため)

しかし実際に退職したのは3/15です。

 

このラグは、次長が手元で退職願を止めていたことによって発生しています。

 

一向に話が進まないので、次長に直接切り出してみると「退職は認めない」と言われました。(この時1/17日とかそのくらい)

別室に案内され、営業部長と次長から引き止めに合いました。

いろいろと含蓄あるありがたいお言葉()を頂いたのですが、

「うちでやっていけないと、他ではやっていけないよ」というお約束フレーズをいただきました。なおそのセリフを放った部長と次長は、高校卒業以来1社でしか働いていません。会社愛が強いんですね。

この引き止めは1ヶ月以上続きました。(この時点で2月)

毎日ストレスがやばかったです(粉ミカン)

 

 

で、なんやかんやあっていざ退職が決まったわけなんですが、社内で無視されまくるやつが発生します。引き継ぎのために話しかけても「今忙しい」とかいろんな理由で断られます。

上長からは「辞めるんだったら責任もって引き継ぎしろよ」とか言われます。馬鹿か??

 

 

私が抱えていた顧客でかなりの上客がいたので、流石に3月に入ってからは引き継ぎも行えました。ほんと馬鹿。

しかも3月になってようやく引き継ぎが始まったので有給を消費させてもらえませんでした。

 

 

・退職日当日について

 退職日当日は特に送別会とかがあるわけでもなく、残業で幕を閉じました。バカか?

私の地元は3月でも雪が降るのが珍しくない地域です。退職日当日も雪が降っていました。

最後の仕事は「スーパーへの金庫の納品、設置作業」です。

確かEIKOの金庫でした。定価で50万円くらいのやつ。

床に穴を開けて固定するので基本的に作業は閉店後です。

そのスーパーの閉店時間は22:00でした。

私の最後の仕事が終わったのは翌日の午前2時でした。

はい。もちろんこの作業に伴う残業代や手当は発生しません。

 

 

 

 

・最後に

前職は絵に描いたようなブラック企業です。感想としては「辞めてよかった」以外に出てきません。

 

転職は3年経ってからとかいいますが、絶対そんなことは無いです。なんなら第2新卒とかで採用している企業もたくさんあるので、ヤバイと思ったらすぐに逃げたほうが良いです。

いざ会社を辞めようと思うと、周りから「忍耐力が無い」とか「会社辞めてどうするの」とか言ってくる人がいるかもしれません。

周りのことなんて気にしてはダメです。一番大事なのは自分自身です。周りの人は自分の人生に責任を持てないので、取り合うだけ無駄です。

 

もう一度だけ書いておきます。

一番大事なのは自分自身です。

 

 

現に1年未満で転職した私がいます。

今は地元を出て東京都内で死んだ目で仕事しています。

今の会社はSIerですが、私は開発をしているわけではないです。テクノロジーの敗北を実感する毎日ですが、なんとか生きています。

今の会社も辞めて、また転職しようと考えています。セキュリティベンダではなくユーザ企業へ転職したいです。

フォレンジックができる人材を雇ってみたいユーザ企業の方、Twitter : @HASH1da1 までぜひ連絡ください。

 

 

もし就活中の人がいれば、「本当にその会社でやりたいことができるのか」を見極めてほしいです。今の時代、インターネットで調べれば大概の情報は得られます。

 

もし転職活動中の人がいれば、「一緒にがんばりましょう」と言いたいです。

 

 

 

こんなブログですが、この記事で私の過去を供養できればと思います。。。笑

 

 

 

PCスペックを晒してみる

こんにちは。台風なので引きこもっているはしだいです。(いつもどおり)

今日は暇なので、私のメインPC(自作)のスペックを紹介します。
ありあわせのパーツで組んでいるので、だいぶ型落ちしてますがバリバリ使えてます。

 

CPU
Intel Core i7 4770

M/B
ASUS Z97-Pro Gamer

RAM
PC3-12800 16GB (たしかCFD製)

GPU
GTS 450 1GB

電源
Silver Stone 80Plus Gold 750W

SSD(System)
Samsung 250GB 850EVO

SSD(DATA)
Western Digital Blue 500GB

HDD(DATA)
Western Digital 2TB 5400RPM

HDD(DATA)
Western Digital 1TB 7200RPM

HDD(DATA)
Western Digital 1TB 7200RPM

Case
Fractal Design Define R5


CPUとメモリは、もともと使っていたDELLのOptiplex 9020からの使い回しです。
マザーはアキバのツクモで中古で安く買いました。
SSDとHDDは適当に家に転がっていたものや、アキバのパソコン工房Buy Moreのセール等で安く組んでます。

PCの総額はおそらく10万円行かないくらいですね。


そろそろ新しいPC組みたいんですけど、絶賛金欠なのでいつになるのやらという感じです。


組みたいスペックも晒しておきます

CPU
AMD Ryzen7 2700X

CPU Cooler
NZXT Kraken X72

M/B
GIGABYTE X470 AORUS ULTRA GAMING

RAM
Corsair PC4-25600 32GB

SSD(M.2 NVMe)
Western Digital Black 256GB

SSD(DATA)
Western Digital Blue 500GB

GPU
GIGABYTE GTX1070 Ti Gaming 8G


こんなもんですかね。
希望スペックで組むと20万コースなので道のりは長いですね。。。。


別にゲームはやらないのでグラボは映像出力ができればいいので、GTX1050Tiとかでもいいかもしれません。
というかRyzen 2世代って映像出力できるんですかね?
たしか第1世代はできなかったと記憶してるんですが。。。

 

あと持ち運び用にノートPCもちゃんとしたやつが欲しいですね。
今持ってるのはジャンクで購入したHP Elitebook(第2世代Core 2 Duoのやつ)と
ジャンクで通電しないDELL Latitude E7250なんですよね。
ノートPCはLenovo ThinkPad X280がほしいですね。

 

夢は大きくなるけど、収入は増えないはしだいでした。。。。。

 

マルウェア感染が疑わしい際の応急調査 レジストリ編

マルウェア感染が疑わしい際、調査すべき項目がいくつかあります。

今回はフォレンジックの観点から有効(と思われる)ポイントをいくつか紹介します。

 

今回はレジストリ編です。

 

 


レジストリとは

 

レジストリにはユーザやマシンの設定情報が格納されている、中央階層型のデータベースです。
システム起動時にメモリに組み込まれます。

格納されるデータにはコンピュータ全体の設定やユーザの行動履歴等があります。
例えばOSの設定、ソフトウェアは設定やファイルへのアクセス履歴やソフトウェアの実行履歴等です。

基本的にはレジストリはシャットダウン時に更新されます。


レジストリファイルの入手方法については下記記事をご参照ください。

 

lip-slips.hatenablog.com

 

 


レジストリ調査に有用なツール

 

レジストリ調査には有用なツールがいくつかあります。
参考までにURL等を共有しておきます。(全部フリーツールです)

 

- Regripper

github.com

有名なレジストリ解析ツールです。
使い方に関しては下記ブログが丁寧に紹介してくれているのでご参照ください。
(決して手抜きではないんだからねっ!)

 

kieft.hateblo.jp

 


- Windows Registry Recovery

http://www.mitec.cz/wrr.html

 

インストール不要ですぐ実行できるレジストリ解析ツールです。
インポート機能に対応しており、左側のメニューから直感的に操作できます。
パース時にCPUが高付加で張り付くのが難点。

 

 

- KaniReg

github.com

日本語マニュアルが付属している。
できるだけユーザの操作が必要なく使用できる。UIも日本語でわかりやすい。

 


- Registry Viewer

accessdata.com

以前このブログで紹介したFTK Imagerの開発元であるAccessData社製のレジストリ解析ツール。無料で使えるデモモードだと一部機能に制限がかかるが、簡単な調査であれば十分。
強力な検索機能や、16進数値の変換等、調査時における様々な便利機能が搭載されている。
おすすめ!

 

 


マルウェア感染時に調査すべきレジストリハイブ

 

マルウェア感染時にもレジストリ調査は有用です。
自動実行に登録されていないか、ユーザークリックにより実行されたのか、等を判別することができます。
レジストリ調査時に頻繁に見る箇所をいくつか挙げようと思います。

 


Windows起動時の自動実行の設定


PC起動時や、ユーザーログオン時等に自動で実行される設定が登録されているかどうかについては、下記ハイブを確認します。
マシン全体と、特定のユーザーログオン時で格納されているハイブが異なります。

 

マシン全体
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run or RunOnce or RunOnceEx or RunServices


特定ユーザーログオン時
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run or RunOnce or RunOnceEx or RunServices


このキーにフルパスで登録されています。

 

 

 

インストールされたソフトウェアの調査

HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\Uninstall

 

コントロールパネル > プログラムと機能 に表示されるプログラムの場合はこのキーに設定が登録されています。
しかし通常マルウェアはこのキーに登録されるような手法は用いません。
その場合はSOFTWAREレジストリの未使用領域を対象にデータ復元等を行い、過去にインストールされたソフトウェアの有無を調査します。

 

基本的には以上の項目をチェックします。


ユーザ自身がファイルクリックしたことによる感染の場合ですと、
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
等を確認したりします。
また
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
を確認することで、「ファイル名を指定して実行」によって実行されたソフトウェアの情報を確認できます。

 

 

 


終わりに

今日はレジストリ編ということで、マルウェア感染時に確認すべきキーや、調査に有用なツールを紹介しました。

私はコードが読めないし、書けないのでリバースエンジニアリングやら逆アセンブルやらデコンパイルやらはよくわかりません。
将来的にはIDAをブンブンのブンしてマルウェア本体の解析もできるようになっていきたいですね。

 

マルウェア感染が疑わしい際の応急調査 prefetch編

マルウェア感染が疑わしい際、調査すべき項目がいくつかあります。

今回はフォレンジックの観点から有効(と思われる)ポイントをいくつか紹介します。

 

 今回はプリフェッチ編です。

 

プリフェッチとは名前の通り

pre(事前に)fetch(持ってきた)情報が格納されているデータになります。

 

 

プリフェッチは以下の特徴を持っています。

・プログラムが起動された10秒後に、C:\Windows\Prefetch に [プログラム名-フルパスから算出されたハッシュ値.pf]のファイル形式で保存されます。
・フルパスから算出されたハッシュ値命名規則としているので、プログラム名が同じでもハッシュ値が異なれば、違うパスから実行されたということがわかります。
・プリフェッチには、プログラムのフルパス、実行日時、累計実行回数、プログラムがプロセス実行のために読み込んだモジュール(dll等)などの情報が記録されています。
コマンドラインや自動実行(autorun.inf等)によって実行されたプログラムもプリフェッチに記録されます。
SSD搭載PCではプリフェッチが無効化されている場合があります。(プリフェッチはプログラムを高速に実行するための機能であり、ロード時間が短いSSDにおいては必要とされない場合があるため。)

 

Prefetchについては下記参照

Misinformation and the The Prefetch Flag – Funny, It Worked Last Time

 

Prefetch - ForensicsWiki


(Forensicswiki見れば大体なんでも書いてある。すごい。)

 

 

プリフェッチはバイナリエディタ等で中を見て解析していくことができますが、慣れていない人だととっつきにくいです。(私もできません)

なのでツールを用いてパースした情報を見ていこうと思います。

 

WinPrefetchViewというツールを用います。

www.nirsoft.net

 

ダウンロード&解凍して任意のディレクトリに格納してください。

 

ツールを実行すると、実行している端末のプリフェッチを自動的にロードしてパースしてくれます。インポート機能はないので、解析したい端末の上で動作させることになります。

※プログラム実行によりデータ改変が起こるため、証拠保全で万全を期すためには実行しないでください。トリアージ程度であれば、書き込み防止措置を施して実行してください。

 

ツール実行するとプリフェッチを自動でパースしてくれます。

またプログラムがロードしたdll等も一覧で表示してくれます。

 

今回は検証用に立てたWindows10 ProのVM環境のprefetchを表示しています。

FTK Imager等が実行されたことが確認できます。

f:id:lip-slips:20180915215505p:plain

図1 WinPrefetchView

 

 

これにより、直近で作成された128件の.pfファイルを解析することができます。

マルウェア等が実行されていた場合の手がかりになります。

例えば、正規プログラムの名前を語っているマルウェアなどであれば.pfファイルの名前から解析したり、格納ディレクトリを特定できたりします。

またロードしたモジュールも表示されるため、どんな挙動を行ったのかを簡易的に調査できます。

過去に私が調査したものですと、firefox.exeに偽装したプログラムが動作しており、CCleaner.exeをロードしデータの削除を行っていたというものがありました。対象は確かWannaCryの亜種だったと思います。(うろ覚え)

 

 

 

このようにプリフェッチを解析することで、マルウェア感染の際の調査に応用できます。

闇雲に調査を行うよりも、こうしたツールを用いてトリアージを行うことで効率的に調査することができます。

 

 

気が向いたらレジストリ解析編も書こうと思います。

 

 

 

FTK Imagerでデータ保全 運用編

前回の記事でFTK Imagerは以上と言ったな?

あれは嘘だ。

 

というわけで

 

データ保全ツールである、FTK Imagerについて紹介します。

無料で使えるソフトウェアでありながら、実際の現場でも頻繁に使用されている高機能なイメージングソフトです。

 

今回は運用編として、実際の保全の現場におけるFTK Imagerの便利機能を紹介します。

※紹介されている手法で生じる不都合に対して、筆者は一切の責任を負いません。

※データ取得を試行する際は、自分の環境やインシデントレスポンスの現場等他人に迷惑がかからない環境で実行してください。

 

今回紹介するのは、FTK Imagerの便利機能です。

その便利機能とはUSBから起動できる、というアレです。

手順を紹介します。

 

 

まずFTK Imagerをダウンロード&解凍します。

手順はダウンロード編で紹介したとおりです。

lip-slips.hatenablog.com

 

 

その後、実行ファイルを叩きます。

 

 

FTK Imagerはローカル端末にインストールもできますが、USB等のリムーバブルメディアにもインストールして実行することができます。

これにより、持ち運び可能な保全ツールとして運用できます。

もちろんFTK Imagerの全機能を使用できます。

 

インストール手順を紹介します。

 

まずは解凍したFTK Imagerのインストーラを管理者権限で実行します。

 

f:id:lip-slips:20180911211125p:plain

図1 インストール先の変更

 

インストール先を指定する画面になったら、ウインドウ右側の[Change]をクリックします。

今回はJドライブとして割り当てられている、ELECOM製32GBのUSBメモリにインストールします。

※なんで32GBかというと、昨今のPCではメモリ8GBが以上ないと人権が無い以上であるというのが非常に多いからです。

容量に余裕のあるUSBメモリを用いることで、FTK Imagerのインストール並びにメモリダンプ、レジストリの保存先をUSBメモリに指定することができます。

 

リムーバブルメディアを保存先に指定することで、ローカルデバイス(OSがインストールされているデバイス)に加えられる変更を最小限に抑えることができます。

どういうことかというと、未使用領域やスラックスペースへの上書きを抑止することができます。(これにより削除データの復元の可能性が上がります。

※1

f:id:lip-slips:20180911213640p:plain

図2 JドライブにマッピングされているUSBメモリを指定

 

OKを押下してインストール先を指定します。

その後は画面に従ってインストールしていきます。

 

 

インストールが完了すると先程指定したインストールしたデバイスにインストールされていることが確認できます。

 

※ローカル端末にインストールした

"C:\Program Files\AccessData\FTK Imager

を直接リムーバブルメディアにコピーすることでも使用できます。

 

f:id:lip-slips:20180911222159p:plain

図3 J:\FTK Imager

 

インストールしたディレクトリを開き、FTK Imager.exeを実行するとFTK Imagerが実行されます。

その後は保全編、発展編で紹介した内容が使用できます。

lip-slips.hatenablog.com

lip-slips.hatenablog.com

 

 

この機能の良いところはFTK ImagerをインストールしたUSBメモリを作成しておけば、Windows 64bit機であれば対応できるところです。

例えばアンチウイルスが検知したタイミングあれば、USBメモリにインストールしたFTK Imagerを起動することでメモリダンプを取得してからLANの切断といった処置を行うことができます。

メモリダンプを取得していれば、その後の調査においてC2の通信先であったり、親プロセス、インジェクションされたプロセス等のみならず、タイムライン調査も可能になります。

 

Cドライブ等を保全していればディスクフォレンジックの際にも有意な情報になります。

またレジストリを取得していれば、userdiffの情報やsoftwareのレジストリも取得しているので、インストールされたソフトウェア、自動実行等の情報が判明する可能性もあります。

メモリの保全レジストリの取得については下記を参照してください。

lip-slips.hatenablog.com

 

例えばデータの保全だけは自社で行い、調査についてはベンダに投げる。といったような運用が可能になります。

ベンダには中間報告等をあげてもらえばHPに掲載する等の措置をとることができ、投資家や株主の対策にもなり得ます。

 

 

 

環境によってはFTK Imager.exe実行時にいくつかのDLL不足により実行できない場合があります。

その際はVisual C++再配布パッケージがインストールされているコンピュータの

C:\windows\System32 に格納されている、
・MSVCP140.dll
・VCRUNTIME140.dll
・mfc140u.dll
をUSBデバイス等のFTK Imagerフォルダ直下にコピーすることでFTK Imagerをリムーバブルメディアから実行することができます。

 

私が確認している限りでは、ナチュラルなWindows10 Enterprise環境ではVisual C++がインストールされていないので実行できないことを確認しています。

 

 

 

FTK imager.exe実行した後は、必要に応じてデータ保全を行ってください。

 

 

今日はFTK Imagerの便利機能について紹介しました。

これ以外にもフリーツールで便利なものがあったら紹介したいと思います。

 

 

 

※1 9/12追記