FORENSICのメモ

base64

標準入力のデータをBASE64でエンコードまたはデコードして標準出力するコマンド。デフォルトではエンコードする。オプション -d を付けるとデコードする。

$ base64 foo.dat # エンコード
$ base64 -d foo.txt # デコード

ファイル名を渡さないか - をパラメータにすると標準入力を処理する。

volatilityの使い方

最初にimgのプロファイルを推定
> volatility -f imageinfo

調査用コマンドの例
> volatility -f --profile==Win7SP1x86 pslist

レジストリのhashdumpの使用
最初にhivelistコマンドでSYSTEMハイブ（-y）とSAMハイブ（-s）のオフセットを確認する
> volatility -f --profile==Win7SP1x86 hivelist

> volatility -f --profile==Win7SP1x86 hasdump -y 0xe1035d60 -s 0xe173eb68
　　…各ユーザのパスワードhashが表示される

　-d オプションは結果出力先のパスを指定

よく使いそうなもの
pstree
connscan
cmdscan

mimikatz

https://docs.microsoft.com/ja-jp/enterprise-mobility-security/solutions/ata-attack-simulation-playbook

ちょっとメモ

Defaultgateway
Darkcomet
RemoteShell ipconfig→192.168.0.XXX

ADSVのAdminPasswd
mimikatzを/にsend
privilege::debug
sekurlsa::logonpasswords
exit
>> ~tmp/victim.txt

csvde.exe -ur -f <出力ファイル.txt> -b administrator datafusioncenter.local

リモートマシンで起動中のプログラムの一覧を取得
tasklist /S /U /P

リモートマシンへのログイン
psexec \\ -u -p cmd

Tips
netuse \\\$c\Users\\

rarのPrefetchに圧縮したファイル名が含まれる
（パスワードがわからなくても内包物は判明する）

wmic /node:\ /user: /password process call create "c:\windows\seystem32\XXX.exe"

IP GeoLocate

https://www.aguse.jp/

http://www.iphiroba.jp/ip.php

log2timeline 使い方

https://digital-forensics.sans.org/blog/2011/12/07/digital-forensic-sifting-super-timeline-analysis-and-creation

zeus　参考

http://dev.classmethod.jp/study_meeting/volatility-framework/