Toor@Toor_max·6mぱよくの方々って即、差別差別!!それは差別だ!って騒ぐよね。今までは、それが煩いから、はいはい、ってなってたからこういう状況なんだよね。生活保護受給しているのが、日本人以外、が多すぎることから見ても分かるね、言ったもん勝ちの精神1
Toor@Toor_max·12mpython ☓☓.py -f メモリイメージファイル名 --profile=プロファイル名 sessions ログオンセッションごとに含まれるプロセスやマップされたデバイスドライバの一覧を見れる #フォレンジック
Toor@Toor_max·23mpython ☓☓.py -f メモリイメージファイル名 --profile=プロファイル名 userassist Userassistレジストリキーの情報を抽出 #フォレンジック
Toor@Toor_max·29mpython ☓☓.py -f メモリイメージファイル名 --profile=プロファイル名 hivelist レジストリハイブのフルパスおよび仮想アドレス、物理アドレス一覧が出せる #フォレンジック
Toor@Toor_max·38mpython ☓☓.py -f メモリイメージファイル名 --profile=プロファイル名 sockscan 過去に発生したSocket socketsと見比べるとよい #フォレンジック
Toor@Toor_max·41mpython ☓☓.py -f メモリイメージファイル名 --profile=プロファイル名 sockets オープンしているTCP,UDPのソケット情報の一覧が分かる アドレスもcreate timeも分かる #フォレンジック
Toor@Toor_max·44mpython ☓☓.py -f メモリイメージファイル名 --profile=プロファイル名 connscan connectionsとconnscanを見比べる #フォレンジック
Toor@Toor_max·46mpython ☓☓.py -f メモリイメージファイル名 --profile=プロファイル名 connections メモリデータ保全時にアクティブであったネットワーク接続を表示 #フォレンジック
Toor@Toor_max·56m生活保護もらいながら、反日映画作って、それを擁護する人たちってなに?親からお金出してもらって、生活している人が、大っぴらに親の文句を言い続けるもんでしょ。。恥ずかしすぎるし。それを擁護する人たちは、自分のお金でその文句ばかり言う人達を養ってあげて、って思う。2
Toor@Toor_max·1hpython ☓☓.py -f メモリイメージファイル名 --profile=プロファイル名 mutantscan Mutexオブジェクト(プロセス/スレッド同士で排他制御を行うために利用) #フォレンジック
Toor@Toor_max·1hpython ☓☓.py -f メモリイメージファイル名 --profile=プロファイル名 filescan ファイルオブジェクトをスキャンすることでオープンファイルの一覧 #フォレンジック
Toor@Toor_max·1hpython ☓☓.py -f メモリイメージファイル名 --profile=プロファイル名 driverscan ドライバオブジェクトをスキャンすることでドライバ一覧を表示 #フォレンジック
Toor@Toor_max·1hpython ☓☓.py -f メモリイメージファイル名 --profile=プロファイル名 modscan modulesと同じだが、データ構造をスキャンするので、隠されたももを検出できる可能性がある #フォレンジック
Toor@Toor_max·1hpython ☓☓.py -f メモリイメージファイル名 --profile=プロファイル名 modules システム上にロードされているカーネルモジュールの名称、ベースアドレス、サイズ、パスなどを一覧で表示 #フォレンジック
Toor@Toor_max·1hpython ☓☓.py -f メモリイメージファイル名 --profile=プロファイル名 consoles ユーザがコマンドプロンプトで表示した内容をメモリ中から探し出して表示 ってか、そこまで分かるんだー。すごっ #フォレンジック
Toor@Toor_max·1hpython ☓☓.py -f メモリイメージファイル名 --profile=プロファイル名 cmdscan コマンドプロンプトで実行したコマンドのヒストリが情報が出てくる 例えば、スパイウェアがコマンドを実行していたら、それも分かる #フォレンジック
Toor@Toor_max·1hプロセスからマルウェア実行ファイルを検出することができる可能性がある python ☓☓.py -f メモリイメージファイル名 --profile=プロファイル名 procdump -p プロセスID -D ダンプ先ディレクトリ名 #フォレンジック
Toor@Toor_max·Sep 21echo xxxxx > a.txt:adstest more < a.txt:adstest dir /r a.txt 隠しデータってやつですね、 面白い 面白すぎる #フォレンジック
Toor@Toor_max·Sep 20やっぱり年齢だよねー そりゃ、一瞬ではじくよね。。 条件マッチで送ってこないで、、、OpenWorkさん、年齢や性別ではじいてる会社さんの情報もマッチさせてもらいたい、、それは、隠し設定でもいいから、相手に設定させて。
Toor@Toor_max·Sep 20Openworkでご登録いただいたユーザー情報と企業の求める条件がマッチした場合にお送りします。という、応募リクエストがくるんだが、これに応募したら、速攻で、会社からきた「お送りいただいた内容をもとに慎重に選考を進めた結果、誠に残念ながら、今回は貴意に添いかねる結果となりました。」
Toor@Toor_max·Sep 20rip -r Ntuserハイブファイル -p shellbags_xp rip -r Usrclassハイブファイル -p shellbags Exploreで開いたフォルダウィンドウの位置、サイズ、表示属性などを保持 フォルダが削除されてもShellbagの情報は残る フォルダが削除されている場合に使うのがいい #フォレンジック
Toor@Toor_max·Sep 20rip -r Ntuserハイブファイル -p applets ペイント、ワードパッドにアクセスした履歴 注目は、レジストリエディタで最後にアクセスしたレジストリーキーが分かる。
Toor@Toor_max·Sep 20rip -r Ntuserハイブファイル -p comdlg32_spn 開くや名前を付けて保存というようなことをしたアクセス履歴が分かる ダイアログウィンドウでアクセスした、ということ #フォレンジック
Toor@Toor_max·Sep 20rip -r Ntuserハイブファイル -p fileexts_spn fileexts プログラム実行履歴が分かる MRUListで実行ファイルの順番が分かる。先に書かれているものが、最近実行されたもの。 #フォレンジック
Toor@Toor_max·Sep 20rip -r Ntuserハイブファイル -p muicache 過去に実行したプログラムとそのデスクリプションが記録 win7以降は、usrclass.datを指定
Toor@Toor_max·Sep 20rip -r Ntuserハイブファイル -p recentapps プログラムの実行履歴 最終アクセスtime、プログラムのパス、プログラム名、累積起動回数なども分かる #フォレンジック
Toor@Toor_max·Sep 20rip -r Ntuserハイブファイル -p userassist マルウェアを実行した時間を判断することができる。 これは使えるのでは。覚えておこう。 #フォレンジック
Toor@Toor_max·Sep 20システム管理をする場合、隠しファイルなどを表示でくるようにしておく。 ユーザーのプロファイルの下にNtuser.datができている。HKEY_USERSの下にもできる。履歴のことをMRU(Most Recently Used)と言う。 #フォレンジック
Toor@Toor_max·Sep 20rip -r software -p uac user account control EnableLUA =1 or 0 マルウェアなどでの乗っ取りに気をつける。モジュールを読まずにOKなどとはしないように。 #フォレンジック
Toor@Toor_max·Sep 16セキュ塾、先生・・・ 教え方勉強してよ。。。 教えることを専門とする民間の企業で先生の質って本当に大事だよね、。 日本って、ほんと技術的に力入れていく気あるのかな、 ないよね。
Toor@Toor_max·Sep 16rip -r software -p networkcards ネットワークインターフェース情報 フォレンジックでは、ネットワークインターフェースまで調べる必要がある ほんとか?!
Toor@Toor_max·Sep 16rip -r software -p win_cv windowsシステム情報 プログラムファイル、フォルダの場所 common file folderの場所等 #フォレンジック
Toor@Toor_max·Sep 16HKLM\Software\ベンダー名 HKLM\Software\Classes -ファイル拡張子の設定、COMオブジェクトの設定等 HKLM\Software\Microsoft Microsoftはベンダーの中には入っておらず、独立 rip -r software -p winnt_cv
Toor@Toor_max·Sep 16rip -r security -p auditpol 監査ポリシーの設定 OSのバージョンによって監査対象が変わる S:成功だけ監査すればいい、S/F 成功失敗を見る #フォレンジック
![Opens profile photo](data:image/svg+xml,<svg xmlns="http://www.w3.org/2000/svg" width="200" height="200"><rect fill-opacity="0"/></svg>)
![](data:image/svg+xml,<svg xmlns="http://www.w3.org/2000/svg" width="48" height="48"><rect fill-opacity="0"/></svg>)
![](data:image/svg+xml,<svg xmlns="http://www.w3.org/2000/svg" width="120" height="90"><rect fill-opacity="0"/></svg>)
![](data:image/svg+xml,<svg xmlns="http://www.w3.org/2000/svg" width="240" height="123"><rect fill-opacity="0"/></svg>)
![](data:image/svg+xml,<svg xmlns="http://www.w3.org/2000/svg" width="24" height="24"><rect fill-opacity="0"/></svg>)
![](data:image/svg+xml,<svg xmlns="http://www.w3.org/2000/svg" width="240" height="135"><rect fill-opacity="0"/></svg>)