6 Hex Editors for Malware Analysis

Hex editors allow examining and modifying a file at the low-level of bytes and bits, usually representing the file’s contents in hexadecimal form. Some editors distinguish themselves at helping the user derive meaning from the examined file, extracting ASCII and Unicode contents, searching for patterns, recognizing common structures, and so on. There are lots of hex editors out there; I want to mention a few that I find particularly useful for analyzing malicious software and document files.

FileInsight
FileInsight is a free hex editor from McAfee Labs that runs on Microsoft Windows (download zip file). As expected, it can perform standard hex editor duties, such as viewing and editing file contents in a hex form, but it also does more than that.
FileInsight is able to parse the structure of compiled Windows executables (PE files) and binary Microsoft Office (OLE) documents. Furthermore, the tool has a built-in x86 disassembler: simply point the cursor at the area of the file  you want to treat as code, and the tools will show you the corresponding assembly instructions. The disassembler is especially helpful when looking at shellcode embedded in malicious files.
FileInsight includes numerous other analyst-friendly features, such as the ability to import data structure declarations, HTML syntax highlighting, and tools for decoding various data obfuscation methods (xor, add, shift, Base64, etc.). FileInsight also allows you to automate actions using JavaScript and Python. Nick Harbour wrote several Python plugins for FileInsight, which you can download from his website.
The tool’s biggest weakness is, perhaps, it’s inability to open very large files. For instance, when attempting to load a 512MB file, FileInsight produced a “Failed to open document” error. Also, FileInsight does not support searching for Unicode-encoded strings that look like ASCII strings.

FileInsight in Action

Hex Editor Neo

Hex Editor Neo is available as free and commercial versions for Microsoft Windows from HDD Software. Its freeware version provides typical hex editor features in a friendly and highly-customizable interface, but is not particularly impressive. However, unlike FileInsight, all versions of Hex Editor Neo can open very large files and allows user to look for ASCII and Unicode-encoded strings.
The features of Hex Editor Neo relevant to malware analysis are present in its commercial versions (see version comparison). For instance, the Standard version introduces the support for handling data manipulations, such as decoding, encrypting and deobfuscating using common algorithms. (Notably, these features are included for free in FileInsight.) The Professional version introduces support for viewing and editing local resources, such as NTFS streams, local disks, process memory and physical RAM. The Ultimate version includes scripting support and built-in disassemblers for x86, x64 and .NET code.
FileInsight is probably a better match than Hex Editor Neo for regular malware analysis use. However, Hex Editor Neo’s commercial versions add value to the toolkit by supporting very large files, x64 and .NET disassembly, local resource editing, searching for Unicode strings and extensive customization support of its user interface.
Hex Editor Neo in Action

FlexHex

FlexHex is a powerful commercial hex editor from Heaventools Software that includes many features comparable to commercial versions of Hex Editor Neo, though FlexHex does not support scripting.
FlexHex only stands out from Hex Editor Neo in its ability to parse  binary Microsoft Office (OLE) documents. However, FlexHex might get confused when attempting to parse some malicious OLE files, presenting a “The docfile has been corrupted” error. Overall, this is probably the weakest editor of those examined here from the perspective of a malware analyst.
FlexHex in Action

010 Editor

010 Editor is a commercial hex editor for Microsoft Windows from SweetScape Software. Its core features are comparable to those of the commercial versions of Hex Editor Neo and FileHex: support for very large files, data manipulation, local resource editing, and so on. Like Hex Editor Neo, 010 Editor also supports scripting.
010 Editor shines in its ability to parse various file formats by using a large library of user-contributed templates. This makes it easier for the analyst to navigate various file formats, including Windows executables (PE files), Windows shortcut (LNK) files, Zip archives, Java Class files, and many more. Malware analysts will particularly appreciate the template for parsing PDF files that Didier Stevens created for 010 Editor. You can also download several user-submitted 010 Editor scripts from its website.
010 Editor in Action

Hiew

Hiew is a commercial hex editor by Eugene Suslikov for Microsoft Windows. It is a favorite among many malware researchers due to the powerful features for examining and editing the structure and contents of Windows executables (PE files) and Linux binaries (ELF files). Another very useful feature for reverse-engineering malicious programs is the tool’s ability to disassemble and assemble x86 and x64. Hiew’s disassembler even supports the ARM instruction set. Hiew can handle very large files and edit local logical and physical drives. It supports macros, scripts and even has an API set for additional extension and automation.
It works in a DOS-style console window and is generally unfriendly towards a new user, in comparison to the other hex editors I discussed so far. It’s a powerful hex editor, but is not well-documented. For those who don’t already know how to use it, it probably isn’t the best tool to get started with, given the number of other powerful hex editors and disassemblers available.
Hiew in Action

Radare

Radare is a set of free tools for Unix platforms  that include powerful hex editing capabilities. Radare’s features are too numerous to list here, and include support for examining and tweaking Windows executables (PE files), Linux binaries (ELF files) and Java Class files, comparing binary files, as well as disassembling, reassembling and debugging code. The tool also includes shellcode generator, which is particularly relevant for those who analyze vulnerabilities and exploits. The capabilities of Radare are extensible and scriptable.
The drawback of Radare is that it is a command-line tool that is difficult to master. Fortunately, it includes rather extensive documentation. Radare is of particular interest for analysts who prefer working in Unix environments with command-line tools. (Radare is included in the REMnux distro for malware analysis.)
Radare in Action

Conclusion

We looked at several powerful hex editors that included features useful for analyzing malicious software. Of these, FileInsight stood out for its overall feature set that malware analysts find useful on regular basis. 010 Editor provided a large number of templates for parsing file, including PDF documents, and was highly customizable. FlexHex included support for parsing some binary Microsoft Office (OLE) files, but otherwise did not stand out. Hex Editor Neo expanded the toolkit by being able to disassemble x86, x64 and .NET code. Radare offered comprehensive, but hard-to-use command-line capabilities for Unix platforms. Hiew included powerful features for tinkering with compiled executables, but was not-user friendly.
Hex EditorHighlighted FeaturesHighlighted Limitations
FileInsightBuilt-in x86 disassembler
Many data decoding methods
Scriptable
Parses PE and OLE formats
Free
Cannot handle very large files
Hex Editor NeoBuilt-in x86, x64, .NET disassembler
Many data decoding methods
Handles very large files
Scriptable
Highly-configurable interface
Advanced features in commerical version
FlexHexParses OLE format
Handles large files
Some data decoding methods
Not scriptable
Commercial
010 EditorParses many formats, including PE and PDF
Support for custom parsing templates
Many data decoding methods
Handles very large files
Scriptable
Commercial
HiewBuilt-in x86, x64, etc. disassembler
Built-in reassembler
Handles very large files
Many data decoding methods
Commercial
Hard to use
Not well-documented
RadareBuilt-in x86, x64, etc. disassembler
Built-in reassembler
Handles very large files
Many data decoding methods
Free
Hard to use
Personally, FileInsight and 010 Editor offer the most value for my malware analysis work on Windows and Radare on Unix, leaving FlexHex, Hex Editor Neo and Hiew in the “nice-to-have” category. Of course, everyone has his or her own preferences. What’s your favorite hex editor?

轉自 SANS

QQ 2009/2010 聊天記錄分析測試

轉自 計算機取證技術

一直說到俄羅斯Belkasoft公司的IM Analyser可以支持QQ 2009和QQ 2010的聊天記錄查看,但一直沒有測試成功。今天和Belkasoft公司CEO Yuri在SKYPE上遇到了,並一起測試了最新版本2.0,發現果然可以成功查看2010版的聊天記錄。


趁熱打鐵,把測試過程和遇到的問題和大家交流一下。之前也是測試過幾次,但都不成功,以為他們還沒有徹底解決技術問題。後來才知道可能是他們軟件中的一個BUG,估計下一個版本中就可以修改好了。

過程如下:
測試版本:Belkasoft Forensic Studio Professional Version: 2.0  ( BFSP.ZIP 9327KB)
測試環境:MacOS Parallels Desktop 虛擬機,安裝WINDOWS XP 32位中文版
QQ版本: QQ2010正式版(1720)
其他要求:Microsoft.NET Framework 3.5

下載,安裝就不說了。軟件運行後,可以轉換為中文界面。這個軟件是Sprite一年前漢化的,現在發現有些漢語選詞錯誤,大家包涵著用吧。

1、軟件運行,首先看到註冊畫面。這裡面顯示的是針對SPRITE的機器生成的機器碼。購買軟件的人,只要將這個機器碼返還給軟件公司,就會生成一串唯一 對應的註冊碼。可以激活軟件。請注意生成Hardware ID時候的軟件版本。不同的版本對應的激活碼是不能互換使用的。也就是專業版的註冊碼不可以在標準版的軟件中使用。否則會提示註冊碼無效。



2、如果各位只是想測試一下軟件,那麼選擇演示模式即可。「運行未註冊的軟件」--沒翻譯好。呵呵。選擇之後,軟件會提示只能顯示20條聊天信息。



3、選擇QQ2009/2010,右鍵,選擇「查找該類型聊天記錄」。這個軟件的BUG就在這裡。如果選擇了「打開聊天記錄文件」,過一會調用聊天記錄文件時軟件就會出錯,退出。



4、在出現的下面窗口中,如果選擇第一個選項「所有邏輯磁盤」,那麼查找QQ聊天記錄的時間會非常長,因為軟件要去檢索所有的目錄,如果你的計算機中目錄 很多,可能會搜索1個小時。呵呵。為了快速地定位,我們還是直接指定QQ目錄吧。一般來說,默認的安裝位置是:c:\probram files\Tencent,用戶也有可能自己更換安裝位置,但總的說找到這個位置還是計較簡單的。




5、搜索指定磁盤或目錄,設定好QQ的路徑(不用更加詳細了,這樣設置搜索起來已經非常快了,大約3秒。)選擇確定繼續。



6、3秒之後,軟件自動找到了包含有聊天記錄的目錄。這裡面顯示的是我測試的QQ號碼。如果實際的CASE裡面,可能會出現好幾個QQ號碼,都會顯示在這裡。



7、此時,雙擊QQ2009\2010,可以看到這裡出現了搜索到的QQ號碼。



8、選擇相應的QQ號碼,右鍵,選擇讀取聊天記錄。編碼可以設定中文語言。



9、這裡比較複雜,給大家解釋一下。
第一個C:\,是用戶Windows所在的盤符。我這裡是C盤,所以設定為C。但如果外掛一塊硬盤時候,WINDOWS所在分區的盤符可能為F,那麼需要將這裡設定為F:

第二個選框,是用戶QQ目錄所在反覆,我的QQ保存在C盤,所以也是選擇了C:。但如果設定在D盤,或者外掛一塊硬盤時,QQ位置可能是G:,那麼就需要設定為相應盤符。

第三個選框是WINDOWS註冊表SOFTWARE保存的位置。如果在自己的機器上測試,那麼當前WINDOWS正在運行,SOFTWWARE是被保護 的。IM ANALYZER無法讀取被鎖定的SOFTWARE。此時需要用類似於HOBOCOPY的工具,或者有WINHEX或者X-WAYS FORENSICS的朋友可以用這兩個軟件將SOFTWARE拷貝至某個目錄中備用。


有關SOFTWARE的拷貝方法如下:
a:  SOFTWARE的位置:


B: HOBOCOPY的使用方法:紅色標註的即為命令行。



10、

讀取成功後,測試QQ號碼顯示為綠色。雙擊這個號碼,可以看到包含聊天記錄的號碼和聊天內容。

11、此時可以看到測試的聊天內容。其實操作正確後還是很簡單的。讀取速度也是很快。中文支持很好。顯示時間也是準確的。其中O表示OUT,即發出的信息,也就是我測試的QQ號碼,機主。I表示IN,即接收的信息,即和我聊天的人,圖中顯示為7414XXXX的人。


不足:
群記錄無法分析。Belkasoft答應繼續分析。
好友列表無法顯示。
可以解決部分問題,但無法解決QQ2010的全部問題。

但不足歸不足,終究這是Sprite所看到的唯一一個可以查看到聊天記錄的工具。能解決一點,總比一點都不能解決好吧。

Free Malicious PDF Analysis E-book



Malicious PDF Analysis E-book

轉自 http://blog.didierstevens.com/2010/09/26/free-malicious-pdf-analysis-e-book/

製作綠化版鑑識工具

如果可以選擇的話,我們在下載軟體時,通常都會比較偏愛下載「綠化」或「可攜式」的版本,因為這類型的軟體最大的優點當然就是不需要安裝,可以放在隨身碟 裡帶著走。不過,許多「綠化版」的軟體,看起來似乎都「不太乾淨」,與其忐忑用著這些來路不明的檔案,不如用「Cameyo」自己動手做綠化軟體。

在介紹怎麼綠化軟體前,還是得先幫大家名詞解釋一下,「綠色軟體、綠化」這底是怎麼一回事。
看到「綠色」,腦袋中自然會浮現「乾淨或環保」之類的概念,跟一般軟體比較之下,綠色軟體(Green Software)不需要安裝就可以執行,自然也不會留下什麼「汙染」本機的記錄,像是機碼、捷徑或資料夾等。

綠色就是可攜式

綠色軟體也被稱為可攜式軟體(Portable Application),因為如果想放在隨身碟直接執行,體積輕巧當然是一定要的,像7-zip portable8start Launcherfoobar2000等都是常見的綠色軟體。
要注意的是,並非所有的軟體都原生提供綠化版,像許多地下論壇或網站所提供的「綠化版」,很多時候都是「綠化破解版」。這些被非法綠化的軟體,或許本身就是有限制的付費或共享軟體,而非自由軟體(Free software),至於真的有這麼多「好心」的人沒事會冒著風險幫你綠化軟體嗎?或許仔細用防毒軟體掃一掃會得到答案。另外,「綠色軟體」都常是在設計時就已經是免安裝的小軟體,但「綠化軟體」卻通常是後天加工而成。


要如何綠化?
接下來要介紹的Cameyo是一套蠻容易使用的軟體,它的運作原理是利用沙盒(Sandbox)的虛擬化技術,先把所有的動作都記錄起來並打包,當 執行這「一包程式」時,它會產生一個虛擬環境來執行,就不會去動用到原本的系統。這大概也能說明為什麼綠色軟體會強調「小軟體」,因為如果是複雜龐大的軟 體,勢必會跟系統有更緊密的結合,要複製出相同的執行環境,較困難也不適合,綠化時也容易造成失敗。
軟體資訊

▲要先聲明,不是所有的軟體一定都可以綠化成功哦!
讓軟體變綠
目前Cameyo最新的正式版本是1.4,也釋出1.5的Beta版本。因為綠化的過程會側錄執行程式時的程序,所以建議綠化的平台愈單純愈好,綠化的過程中也儘量不要再執行其他程序,這樣可以降低綠化失敗的機率。

▲安裝完畢後,直接從開始選單程式,點選「Capture installation」開始執行錄製。

▲右下角會出現側錄前的畫面,請耐心等待。

▲當畫面變身為「Proceed With installation」並看到紅色閃爍的按鈕,我們就可以開始安裝一遍要綠化的軟體。完畢後再按下「Install done」,Cameyo就會開始打包。

▲接下來就會出現一個視窗要我們填入軟體的名稱及路徑,並在最下方選擇軟體的執行檔,再按「OK」。

▲之後我們會在資料夾下看到一個可執行檔,這就是我們自已DIY的綠化軟體。

▲如果是用1.5的Beta版本,執行時會多出這個畫面,選取與程式有關的項目即可開啟。


轉自:T客邦


模擬實戰釣魚網站






這是 VeriSign 提供的一個測試網站。


可以測試自己對釣魚網站辨別能力的網站,雖然內容不夠豐富,玩到最後有點像大家來找碴,不過還是不錯的測驗唷...
總共有十題題目(雖然有五題有出跟沒出一樣)...


網址:https://www.phish-no-phish.com/
中文:https://www.phish-no-phish.com/tw/default.aspx








答題後還有解答,這點不錯,大家有空去玩玩吧~



只講究技術安全其實不夠安全

只有考慮「最」安全的想法,其實是一個錯誤的資安觀念。正確的作法是要思考,適當的安全保障是多少?


如果你家門口裝了10道鎖,每天上下班時都要上鎖或開鎖十次。不出2個禮拜,最後你每天只會鎖住最主要的那道鎖。為什麼不會使用全部的鎖,因為人性,太麻煩了反而窒礙難行。可是,你家裡若放了3億元現金,恐怕連鎖10道,你都不嫌麻煩。


很多人談到資安,多半會強調技術的必要性,認為要善用技術來解決各種安全問題,不斷鼓吹企業要採用更安全的資安技術,講究絕對安全。這就像是認為門上裝的鎖越多就會越安全,其實不然,企業要考慮的是風險和安全措施的對稱性。


只有考慮「最」安全的想法,其實是一個錯誤的資安觀念。正確的作法是要思考,適當的安全保障是多少?例如購買一輛摩托車要花5萬元,被偷的風險有多高?金 錢損失5萬元,再加上造成的不便,最多7、8萬元的風險。為了保證這8萬元的財產,每年應該支付多少錢才划算呢?這是可以估算出來的數字。如果,你每年花 10萬元做防盜措施,那就是太超過的作法。但你若是買了一臺價值上千萬元的法拉利跑車,卻捨不得花10萬元來安裝防盜設備,這也是很愚蠢的作法。


如果你居住的社區小偷猖獗,你太太建議在門口加裝新鎖。你到五金店找了你能負擔的最好鎖頭,但是,店家告訴你,這個鎖頭不能保證百分之百的安全,你買不 買?如果裝了新鎖頭後,可以比現在更安全,以前小偷開鎖要花5秒鐘,現在要花5分鐘。或者是裝了新鎖讓你家比鄰居更安全,開鄰居的鎖要10秒鐘,但開你家 的鎖要10分鐘,那就值得購買。安全措施的風險也是相對的。


一昧注重技術安全其實是不夠安全。很多實際的情況是,技術夠安全,但人員管理不當還是會發生問題,像是在今年初,連安全保護非常嚴謹的瑞士銀行業者,也都傳出了遭內賊竊取客戶帳戶資料的事件。


美國曾有機構統計洩密事件的發生原因,半數來自內賊的問題。但是,企業級的資安技術大多是用來防外人,比較少見防內賊的機制。基本上,除了技術以外,企業還是得搭配管理手法來解決資安問題。


尤其在工作場合中,常會有一些令人為難的資安情況發生,例如當你休假或出差時,你的主管要你交出個人的帳號密碼,你給不給?你能不能給?憑什麼不給?或者 是你擔任機房管理人員,總經理要帶朋友進去參觀,你應該放行嗎?要不要辦理登記手續?你能不能不放行?還有一種常見情況,你的部屬將密碼寫在黃紙條上,貼 在電腦上面,你該不該管?你憑什麼管?


儘管企業導入再好的技術產品,只要發生上面提到的這些行為,就會讓技術失效。即使先前我曾提過,IT系統必須落實責任分工,才能防錯除弊,但若無法有效阻止主管取得員工的帳號密碼,分工還是假的,有不少洩密案的內賊都是主管階層,交出密碼的基層員工只是代罪羔羊。


很多企業沒有明文規定這些安全要求,而是由員工自行判斷,通常員工最後多半還是會答應主管交出密碼。企業必須將這些要求明確地記錄下來,建立一套資訊安全 的SOP。基層員工才有理由來拒絕主管的不合理要求,或是交出密碼後立即通知稽核單位處理,避免成為究責對象,這樣才能保護基層、保障公司的安全。資安技 術必須加上管理配套才能真正發揮成效。口述⊙范錚強,整理⊙王宏仁


作者簡介:
范錚強-中央大學管理學院特聘教授
曾任國立中央大學資管系主任多年,任內創立資管所碩士班,曾應邀到北京大學光華管理學院任客座教授。學術方面,擔任過中華民國資訊管理學會第一、二屆常務 理事,以及第三、四屆理事長。范教授長期擔任多項政府專案審查人,包括經濟部軟五計畫、ABCDE計畫、企業體系電子化計畫、商業體系電子化計畫、物流運 籌業電子化計畫、行政院科技顧問組旗艦計畫等。


轉自ITHOME

MoonSols Windows Memory Toolkit

This version is free. All executables and drivers are NOT redistributable.
Reverse engineering is prohibited.

You are experiencing any problems contact us at : support@moonsols.com

This version contains :

- win32dd  (one executable + one driver) 1.3.1.20100405
- win64dd  (one executable + one driver) 1.3.1.20100405
- hibr2dmp (one executable)              1.0.20100405
- hibr2bin (one executable)              1.0.20100405
- dmp2bin  (one executable)              1.0.20100405
- bin2dmp  (one executable)              1.0.20100405

You are using Community Edition which means :

- win32dd works for Microsoft Windows XP, 2003, 2008, Vista, 2008 R2, 7 32-bits Edition.
- win64dd works for Microsoft Windows XP, 2003, 2008, Vista, 2008 R2, 7 64-bits (x64) Edition.

- hibr2dmp and hibr2bin only works with Microsoft Windows XP, 2003, 2008, Vista 32-bits Edition
Microsoft Windows hibernation files, including corrupted hibernation files.

- dmp2bin only works with Microsoft Windows XP, 2003, 2008, Vista, 2008 R2, 7 32-bits Edition
of Microsoft full memory crash dump files.

- bin2dmp works with Microsoft Windows XP, 2003, 2008, Vista 32-bits Edition raw memory snapshots
(windd, VMWare).


Start download

來源:http://moonsols.com/blog/9-moonsols-windows-memory-toolkit

Forensics wiki



http://www.forensicswiki.org/wiki/Main_Page

難以遏止的網路攻擊文化

作者:鍾慶豐 -08/30/2010


網路攻擊存在於各種網路應用領域,不管是主動式攻擊或是被動式 攻擊,其次數、範圍與危害程度已逐漸達到令人難以忍受的地步,美國軍方甚至提議將網路攻擊視為一種軍事挑釁,建議以軍事行動加以回應,未來此類的衝突只會 越來越加白熱化。

網路攻擊之所亦如此猖獗,其中原因之一在於目前IP網路對攻擊者身分驗證仍有困難所致。此特點乃當時IP網路迅速普及的誘因之一,但現在這項優點卻也成為未來網路應用方面的致命缺點。不管未來大家對網 路攻擊事件的看法如何,如果真要反擊,那反擊的方式將是筆者所好奇的。

畢竟以目前機制而言,要能精準定位到分散式攻擊之攻擊者,實在 有諸多困難,更不要談反擊能力的有效實施。

雲端應用仍暴露在傳統安全威脅

新技術使舊威脅變得較難以實施,因此大家不斷推出新版本的作業 系統、應用程式、防毒軟體…等,以為自己的電腦系統安全盡一份心力。然新技術只會導致舊威脅的進化,因為新技術一旦沒有將舊威脅斬草除根,不管再怎樣升級 系統,都只是延緩被攻擊成功的時間而已。

就以目前大家耳熟能詳的雲端運算(cloud computing)技術來說,先不談其與叢集運算(cluster computing)或網格運算(grid computing)之異同,其所遭遇到的網路安全威脅依舊存在。雲端技術將網路的應用與電腦技術加以結合,而形成所謂的「雲端運算」。

客戶可以將資料移到雲端,而不用再擔心資料硬體的儲存管理問 題,舉凡Amazon的簡易儲存服務(S3, simple storage service)或其彈性運算雲端(EC2, elastic compute cloud)便是此類最好的例證。

這些線上服務提供大量的儲存空間與客制化的運算,但缺點是將客 戶本身的服務可用性與資料整合性委託給雲端服務提供者,其間是否具有信任與穩定性頗值探討。

雖然雲端安全的設定好像是設定內部安全一樣,你日常所適用的安 全工具一樣可以保護那些位在雲端的資料。這裡唯一的差異,乃是雲端環境屬多承租環境(MTE, multi-tenant environment),同時可能有多家公司承租而共享雲端服務。此外雲端環境所牽涉到的安全問題,雖然大多數都可以用 目前現有的安全工具加以定位,表面上客觀威脅性並未明顯增加,但人員道德威脅的主觀威脅性卻有所增加。

正如其他新興運算技術一樣,基於IT產業之原本特性,一旦有新技術被使用,在一定期間內他往往會發揮某種經濟上的使用價值,但這些價 值會隨著時間經過與更新技術的提出而改變,以持續提供企業的金融競爭力,雲端技術亦屬此類技術經濟價值。在其價值用盡之前,是否有值得攻擊的必要,往往必 需看雲端存放的資料隸屬何種資料而定。

不過假如各位選擇了一個有品質的雲端服務提供者,這個品質往往 也提供了相當的安全保證。一般而言,您所需要的安全等級,通常是依據您在雲端用戶端所可能遭遇之風險來決定。

但不可諱言的,傳統密碼學所能提供的資料保護,無法直接套用在 雲端運算中已非使用者能控制的資料上。因此要在沒有完整資料引導的情況下,去驗證雲端資料這便顯得有點困難。另外,使用者儲存在雲端的資料型態不盡相同, 其資料安全的保證亦難以統一。

此外,雲端運算並非只是協力廠商提供的資料倉儲,那些儲存在雲 端的資料,可能常被使用者更新或修改。因此如何在使用者動態操作中,仍能對資料的完整性予以確認,便顯的相當重要。另外,為使使用者資料整體性威脅降低, 其使用者資料往往經冗餘處理後被儲存在不同的實體位置,因此儲存資料使用的分佈協定(distributed protocols)所扮演的角色,對資料完整性來說便顯得非常重要。

以上這些影響雲端用戶資料安全的因素,都可進一步被發展成攻擊 雲端運算之武器。所以網路攻擊者要直接攻擊雲端運算服務提供者並非不可能之事,但要追蹤攻擊者卻不是件簡單的事情。因為追蹤的第一要務是必須在網路流量中先識別攻擊封包,這些攻擊封包可能來自攻擊跳躍環(stepping stone chain)中的反射電腦(reflector)或殭屍電腦。

此外這種IP追蹤技術無法協助我們預防或阻止(攔 截)攻擊者發動網路攻擊,其僅能提供被害電腦受攻擊時,可以去識別這些攻擊封包所在而重建攻擊者封包遞送可能路徑而已。

追蹤攻擊者IP十分困難
隨者網路攻擊案例的增加,許多人都想揪出幕後黑手。各先進國家 對IPTS(IP traceback system)亦已投入相當多的研究,而有關IPTS最近的研究目前也成為網路安全領 域一項很夯的議題,許多學者例如2005年RP. Laufer及P.B. Velloso等人的研究、2007年T. Korkmaz及C. Gong等人 的提議方法或2008年A.O. Castelucio及R.M. Salles等人的報告等等 均提出了IPTS相當不錯的看法,不過這些技術仍有很多待解決的問題,多數提議方法乃屬理論面之論述,實務上並未 完全被實作運用。換句話說,利用IP追蹤技術(IP traceback)或許可嘗試去鑑別 網路的IP封包,但要能追蹤到真正的攻擊者還需要很多努力。

追蹤技術實作需要考量因素有很多,如:記憶體需求、ISP業者的參與程 度、局部部署能力、要完成IP追蹤所需要的攻擊封包數、頻寬消耗成本、處理成本與該策略之保護能力等。

A. Rabkin(2008年)歸納了 最後幾個IP追蹤技術有待解決的干擾問題,包含:攻擊者可以產生各種型式的攻擊封包、攻擊的產生可經由多位攻 擊者協同為之、攻擊者非常瞭解攻擊機制與防禦方法、封包會遺失或重新排序、攻擊者可產生偽造封包、路由器必須是穩固耐用的、路由器的CPU與記憶體有 限、每個網路路由器並非都是相同的等問題。

目前IP網路位置追蹤技術的策略可概分為四種 類別,分別是:末端主機倉儲(end-host storage)、封包紀錄(packet logging)、特定路由(specialized routing)及網路推演狀態(state of the network inference)等四種。

使用末端主機倉儲技術者,有機率式封包標記(PPM, probabilistic packet marking)及iTrace(ICMP traceback);使用封包記錄者,有赫序式IP追蹤(hash-based IP traceback);使用特定路由方式者,有IPSec的IP追蹤技術與涵蓋網 路(overlay network)技術;使用網路推演狀態者,有控制流量(controlled flooding)方式。在此不另做詳述(註)。

另外,以目前許多IP追蹤技術來說,絕大多數乃以IPv4的IP網路環境研究為基 礎,而有關IPv6封包追蹤技術的研究則較少探討。不過令人遺憾的是,一些威脅IPv4的網路攻擊技術,在某些方面,一樣可以威嚇IPv6網路的使用,但是可用在IPv4網路的防禦 技術卻不見得可適用在IPv6裡面,正因為追蹤技術的實作不易,這使得許多網路攻擊者得更無顧忌的進行瘋狂的網路掃瞄或攻擊。

4G無線 網路的安全威脅
看過上面簡要的敘述,我們心裡都有底,要定位一位網路攻擊者通 常非一般使用者能力所及。然在未來大量使用網際網路技術之同時,這方面的威脅也逐漸開始引起多數人關心。

以4G無線網路而言,自從3GPP會議(3rd generation partnership project consortium)建議3G IP網路多媒體子系統環境(IMS, IP multimedia subsystem)將SIP選為多媒體管理協定以來,SIP的重要性顯然有所提升。3GPP之所以選用SIP作為多媒體管理協定的原因之一,乃在於SIP除 了可以輕易的支援多域環境,並符合未來網路環境服務參與者多樣化趨勢。

另外在4G無線網路環境 中,資料的傳送與分享使用的是有線IP網路技術,其同樣涉及多域環境(multidomain environment)的安全問題。例如,在IMS控制架構中,呼叫區段控制功能(CSCF, call session control function)主要利用的是SIP發訊(SIP signaling)功能,此由數種型態的SIP伺 服器組成。不過最常見之SIP主機有三種,分別是質問主機(interrogating-CSCF)── 負責SIP訊號進入點;服務主機(serving-CSCF)── 管理所有的區段控制;與代理主機(proxy-CSCF)──最前線的認證機器,具有控制認證功 能。

當時發展第四代無線網路的考量之一,是為了與現有有線IP網路資源的接口方 便,所以全面採IP-based的設計。但當IMS嘗試簡化網路的核心設計時,其同時也造成網路管理與監控較以往更複雜。這之間主要原因還是因為IMS的設計使然,因為其基礎建設需要對網路流量作即時的安全監控,結果造成IMS網路需要更多安全的考量資訊可供參考,以杜絕可疑活動,例如:分散式阻絕服務攻擊、冒充呼叫者ID(caller ID spoofing), 潛在的SS7網 路侵害(potential SS7 network breaches)…等。

因此,未來如何對外部 無線網域進來的SIP-based區段訊息進行身分確認、整合性檢查與強化認證的程序將是非常重要 的。可惜的是大多數的SIP裝置並無強力的安全機制,欠缺足夠的安全保護,如同手機的SIM卡一樣,只用簡單的安全機制便算交差了事,這在未來或許會成為一個重要的安全問題。

雖然網路安全的問題重 重,一般民眾要抓到網路犯罪者常有某種困難,但也不是沒有明哲保身的方法。一般只需要注意幾項原則,通常就會幫您降低很多網路安全方面的威脅,例如:不利 用不信任的網路傳送機密資料、養成使用編碼訊息的習慣、不瀏覽或下載不明網站或資料、不使用不明軟體、安裝防毒軟體與定期掃瞄、注意更新系統版本…等諸如 此類,相信可以讓安全威脅對生活的不便降到最低才是。
註:這些技術的探討可參考A. Belenky及N. Ansari於2003年所發表的IP traceback研究報告或2007年X.H. Dang, E. Albright等人發表之Performance analysis of probabilistic packet marking in IPv6資料。

本文作者為自由作家, 數位多媒體暨網路安全顧問

本文出自於資安人雜誌70 期 Jul/Aug 2010

PDF Template

PDFTemplate.bt

This is a 010 Editor template for the PDF file format.

It’s particularly useful for malformed PDF files, like this example with PDFUnknown structures:



Download:
PDFTemplate.zip (https)
MD5: C124200C3317ACA9C17C2AE2579FCFEB
SHA256: 24C4FEAD2CABAD82EC336DDCFD404915E164D7B48FBA7BA1295E12BBAF8EB15D




轉自 Didier Stevens

富士通發表新偵測技術 防機密文件外流

檔案在送印或電郵前先轉換成EMF格式,系統就會對檔案中的文字與圖像進行分類,接著分析文字是否內含預先設定的機密語彙;富士通研指出,這種辨識方式比起將紙本文件掃描成圖檔,再透過OCR文字辨識軟體進行分析的檢測精準度更高。


富士通研究所宣布,已研發出業界唯一同時能偵測三種標記機密文件內容的技術,文字、浮水印與印章圖樣都能在檔案送印或電郵寄出前加以檢測,以防止機密資訊外洩。

這項技術支援目前最為普及的EMF印刷檔案格式,檔案在送印或電郵前先轉換成此種格式,系統就會對檔案中的文字與圖像進行分類,接著分析文字是否內含預先設定的機密語彙,圖像則經過重新描繪外框後執行文字辨識,藉此來分辨檔案是否為機密文件。

富士通研指出,這種辨識方式比起將紙本文件掃描成圖檔,再透過OCR文字辨識軟體進行分析的檢測精準度更高。

此技術預定2011年進入實用化階段。由於現階段在電郵寄出30頁左右的檔案時仍需要數十秒的檢測時間,精準度已達水準,但速度上仍有進步空間,因此未來研發課題將放在如何提升檢測速度上。


轉自ITHOME

惡意文件分析工具

1、Offvis
Offvis - 顯示微軟office文件的原始內容和結構, 並能鑑別一些常見的exploit
微軟MSRC小組開發的可視化掃描工具,結合OLESS格式和office文檔格式做了詳細分析,
可以清楚地看清Office文檔的結構,並能識別一些常見的漏洞文檔。
覺得文件格式解析這部分功能比較有用。



2. OfficeCat
OfficeCat 根據一些已知的漏洞在微軟office文件中掃描嵌入的利用程序(exploit)
能識別的漏洞編號較多。



3.OfficeMalScanner
OfficeMalScanner - 可以定位微軟office(DOC, XLS, and PPT) 文件中的shellcodeVBA
下載地址:http://www.reconstructer.org/code/OfficeMalScanner.zip
實際試用的結果發現並不好,大部分東西掃不出來。 
另外還有幾篇可以參考的文檔:


4、Pdf tools
Pdf tools Didier Steven 發布的幾個工具python的集合。
pdf-parser用於對pdf做簡單分析用於對pdf做簡單分析。
make-Pdf可以用來構造出一個簡單的Pdf件,特別是對於action script類型造成的溢出,可以用這個小工具構造。
pdfid 鑑別PDF文件的關鍵元素


5、PDF Dissector
著名的zynamics公司發布的工具。
 
PDF Dissector是一款用於惡意PDF格式文件的分析工具。PDF Dissector 可以幫助理解惡意PDF文件的結構,報告PDF文件中包含的已知漏洞,利用重構 功能的使用,了解JavaScript代碼混淆,使用內置 的JavaScript解釋器來調試惡意JavaScript代碼,使用和擴展內置的Adobe Reader模擬器模擬惡意PDF文件的執行環境,在IDA的協助下從PDF文件中提取shellcode 另外PDF Dissector支持用腳本插件擴展,可開發符 合自身需求的插件。

可惜的是該工具不讓試用。

6、 opaf
Open PDF Analysis Framework可以解析、解壓縮、反混淆一個複雜的PDF文件為一 個清晰的XML文件。 另外,opaf使用了python語言的PLY解析模塊。
工具更多信息及下載地址:https://feliam.wordpress.com/2010/08/23/opaf/


轉自http://hi.baidu.com/lisl03/blog/item/3f803819f5b69f4b42a9ad32.html

數據重現 - 文件系統原理精解與數據恢復最佳實踐



內容簡介
本書是第一本全面介紹Windows及非Windows文件系統的數據恢復技術書籍,不僅涵蓋面廣,內容也達到了足夠深度。

本書不僅對常見的DOS分區體系及Windows的FAT文件系統系列、NTFS文件系統進行了詳細介紹,更涵蓋了蘋果機分區、BSD分區、SPRC平台 的Sun Solaris分區、GPT分區等分區方式,以及Linux的Ext2/Ext3、Unix的UFS1/UFS2、MAC的HFS+等文件系統佈局及詳細 數據結構的講解,多數資料的詳細程度是目前絕無僅有的。 同時對常見RAID類型及包括HP內外雙循環、RAID1E、RAID6及RAID DP在內的異種或新型RAID類型進行了詳細分析和介紹。

另外,本書不僅注重內容的深度及含金量,還兼顧了初學者剛接觸數據恢復實際工作時無從下手的感覺,從數據恢復前的準備到實際恢復工作的進行,從理論分析到數據恢復軟件的使用,一步步帶領讀者踏入數據恢復的殿堂。
本書適合文件系統研究人員、數據恢復從業人員,數據恢復教學人員,數據恢復編程人員,電子取證工作者,數據安全研究人員,系統管理員及一切數據安全存儲與災難恢復愛好者。

http://u.115.com/file/f7332c1d0f



這本有繁體中文版,實作的部分也需要DVD光碟練習,建議還是買書來看吧!!


來源:http://bbs.intohard.com/index.php

Registry: MUICache




Artifact Name
MUICache


Artifact/Program Version
Windows


Description
According to Nirsoft.net, “each time that you start using a new application, Windows operating system automatically extract the application name from the version resource of the exe file, and stores it for using it later, in Registry key known as the ‘MuiCache’.”
This key is similar to the UserAssist key in that it shows you programs that have been run on the system. This key is useful when looking for evidence of malware, virtualization, or “evidence cleaning” programs.
Please see the additional description from “Windows Forensic Analysis” in the first Research Link.


Registry Keys
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache


Research Links
- Google Book Preview – Windows Forensic Analysis
- http://windowsir.blogspot.com/2005/12/mystery-of-muicachesolved.html


Forensic Programs of Use
- http://www.nirsoft.net/utils/muicache_view.html
- http://regripper.net






轉自 http://forensicartifacts.com/2010/08/registry-muicache/

Skype Forensic



Description
Skype is a desktop application that enables voice and video calls, instant messaging, file transfers, and screen sharing between users.


Registry Keys
HKEY_CURRENT_USER\Software\Skype


File Locations
C:\Documents and Settings\[Profile Name]\Application Data\Skype\[Skype User]
C:\Documents and Settings\[Profile Name]\AppData\Roaming\Skype\[Skype User]


Research Links
https://docs.google.com/viewer?url=http://www.lpcforensic.it/public_html/yabbfiles/Attachments/SkypeLogFileAnalysis.pdf
http://nickfurneaux.blogspot.com/2010/03/skype-chat-carver-from-ram-skypeex.html
Subpoena Contact – http://search.org/programs/hightech/isp/default.asp#207


Forensic Programs of Use
Skype Log View - http://www.nirsoft.net/utils/skype_log_view.html
Skype Parser - http://redwolfcomputerforensics.com/index.php?option=com_content&task=view&id=42&Itemid=55
Skype Analyzer – http://belkasoft.com/bsa/en/Skype_Analyzer.asp
SkypeAlyzer – http://www.sandersonforensics.com/content.asp?page=440