shellbagsとはユーザーが Windows Explorer(explorer.exe)を用いてフォルダを閲覧した際、開いていたウィンドウのサイズ、位置、フォルダなどの情報をトラックする仕組みのこと。
shellbagsに関する情報はレジストリに格納されており、ユーザーがExplorerを用いて、ローカル・フォルダ、ネットワーク共有フォルダ、外部デバイス上のフォルダをブラウズするたびにレジストリの情報が更新される。

フォレンジック調査の観点では、shellbagsの情報を調べることでユーザーあるいは攻撃者がWindows Explorerを用いて、どのフォルダにアクセスしていたかを確認することができる。

shellbagsの情報をパースするツールは多数あるが多くの場合、ユーザーのレジストリ・ハイブファイル(NTUSER.DAT、USRCLASS.DAT)を必要とする。RegRipperを用いたパース方法についてはこちらを参照。

Ref:
https://www.sans.org/reading-room/whitepapers/forensics/windows-shellbag-forensics-in-depth-34545
環境:
Linux siftworkstationならRegRipperがプリインストールされている。

コマンド:
(sudo) rip.pl -r /path/to/registry_hive_file/USRCLASS.DAT or NTUSER.DAT -p shellbags
以上。

Ref:
https://www.sans.org/reading-room/whitepapers/forensics/windows-shellbag-forensics-in-depth-34545
SSLにおける公開鍵認証
SSL接続の際、クライアントは証明書内の公開鍵を用いて接続先のSSLサーバー証明書の電子署名を検証する。
つまり、クライアントがサーバーの公開鍵を用いてサーバーの正当性を確認する。


SSHにおける公開鍵認証
クライアント側で公開鍵と秘密鍵のペアを生成し、事前に公開鍵をSSHサーバーに登録しておく(authorized_keys)。
クライアントはSSHサーバーに接続する際、自身の秘密鍵を用いて電子署名を作成する。サーバー側は公開鍵を用いて電子署名を検証する。
つまり、サーバーがクライアントの公開鍵を用いてクライアントの正当性を確認する。

以上。
\Device\LanmanRedirector\;<drive letter>:<logon-session id>\<server>\<share>\<path>
.bashrcは対話モードのbashを起動する時に毎回実行される

bash01.png


.bash_profileはログイン時に実行される。

bash02.png

bash03.png

 | HOME |  »

奇妙な風景 Unique Scene
<< >>

プロフィール


最新記事


最新コメント


最新トラックバック


月別アーカイブ


カテゴリ


スポンサード リンク


FC2カウンター


検索フォーム


RSSリンクの表示


リンク


ブロとも申請フォーム


QRコード