Eiji James Yoshidaの記録

パケット作りが趣味のセキュリティ技術者の記録(2006年9月6日執筆開始)。当ブログはGoogle AnalyticsとAmazonアソシエイトを利用しています。

セキュリティ

Windows 7以降のnetsh traceコマンドでパケットをキャプチャする方法

Windows 7以降*1のnetsh traceコマンドを使うとWindowsの標準機能だけでパケットをキャプチャできるので、やり方をメモ。 使用するコマンドプロンプトは管理者として実行する。 キャプチャ開始 netsh trace start capture=yes traceFile=チャファイル名> net…

WindowsでハードディスクのPHYSICALDRIVE番号などを調べる方法

たまにツールでハードディスクのPHYSICALDRIVE番号などを聞かれたりするのでメモ。 C:\>wmic diskdrive get BytesPerSector,DeviceID,Model,Partitions,Size BytesPerSector DeviceID Model Partitions Size 512 \\.\PHYSICALDRIVE0 VMware, VMware Virtual …

年度別セキュリティ情報ID番号の最大値を更新

年度別セキュリティ情報ID番号の最大値に2014年分を追加した。 年度別セキュリティ情報ID番号の最大値

Software Design 2014年11月号から2015年1月号まで連載した「Jamesのセキュリティレッスン」の内容一覧

Software Design 2014年11月号から2015年1月号まで連載した「Jamesのセキュリティレッスン」の内容一覧は下記の通り。 Software Design 2014年11月号(gihyo.jp)Software Design (ソフトウェア デザイン) 2014年 11月号 [雑誌]出版社/メーカー: 技術評論社…

Software Design 2015年1月号の「Jamesのセキュリティレッスン」は「pcapとpcap-ngのファイル形式の違いを知ろう!」です。

今月号の「Jamesのセキュリティレッスン」は「pcapとpcap-ngのファイル形式の違いを知ろう!」ということで、「pcap-ngファイル形式をバイナリエディタで読む方法」と「pcapとpcap-ngのファイル形式の違い」について書きました。 Software Design 2015年1月…

Software Design 2014年12月号の「Jamesのセキュリティレッスン」は「pcap-ngファイル形式をオレは読む!」です。

今月号の「Jamesのセキュリティレッスン」は「pcap-ngファイル形式をオレは読む!」ということで、pcap-ngファイル形式をバイナリエディタで読むのに必要な知識を書きました。 Software Design 2014年12月号(gihyo.jp) Software Design (ソフトウェア デザ…

Software Design 2014年11月号から短期集中連載として「Jamesのセキュリティレッスン」がスタート

Software Design 2014年11月号から短期集中連載として「Jamesのセキュリティレッスン」がスタートしました。 Software Design 2014年11月号(gihyo.jp) Software Design (ソフトウェア デザイン) 2014年 11月号 [雑誌]出版社/メーカー: 技術評論社発売日: 2…

Software Design 特別企画「Jamesのセキュリティレッスン」用キャプチャファイル

Software Design 2014年11月号から特別企画として「Jamesのセキュリティレッスン」がスタートしました。 在庫が無くなっていても電子版が購入できます。 Software Design一覧(gihyo.jp) Software Design 2014年11月号(gihyo.jp) 【1】ファイル形式のpcap…

今年もセキュリティ・キャンプ全国大会2014で講師をしてきた

今年もセキュリティ・キャンプで講師をしてきた。 セキュリティ・キャンプ全国大会2014 2013までは「パケット工作」について教えてたんだけど、そろそろ別の内容にしようと思い2014からは「パケット解析」を教えることにした。 内容を調整しているとはいって…

サイバー攻撃の演習環境について

SPNのトレーニングなどで使っている演習環境と同じようなものを作りたいといった質問を受けることが多いので、ここに書いておく。 演習環境は仮想化ソフトで構築されていて、Windowsにインストールできるものとしては私も使っているVMware WorkstationやOrac…

Adobe ReaderとAdobe Flash Playerを捨ててGoogle Chromeで表示することにした

前々からAdobe製品を使っているとセキュリティなどの面でろくな目に合わないので、とりあえず私とかみさんのWindows 7からAdobe ReaderとAdobe Flash Playerを捨ててGoogle Chromeで表示することにした。 Adobe ReaderやAdobe Flash Playerをインストールし…

BackTrack 5 R3にnemesisをインストールする方法

たまにBackTrack 5 R3でnemesisを使うことがあるのでインストールする方法をメモ。 まず最初にnemesis-1.4.tar.gzとlibnet-1.0.2a.tar.gzをダウンロードする。 http://nemesis.sourceforge.net/ http://pkgs.fedoraproject.org/repo/pkgs/libnet10/libnet-1.…

「情報セキュリティ実践トレーニング June 2014」の受講者を募集中!

2014年6月2日(月)〜6月12日(木)開催の「情報セキュリティ実践トレーニング June 2014」の受講者を募集中です。 情報セキュリティ実践トレーニング June 2014(www.sec-pro.net) 06月02日(月)〜06月04日(水) ネットワークセキュリティコース 06月05日(木)〜0…

内閣官房情報セキュリティセンターの「本日の情報セキュリティコラム」で私のコラムが公開されました

内閣官房情報セキュリティセンターの「本日の情報セキュリティコラム」で私のコラムが公開されました。 本日の情報セキュリティコラム(www.nisc.go.jp) 気付いたらセキュリティ業界に入って15年目に突入。今までを振り返り、これからを考える。(www.nisc.…

2月13日のnews every.に映りました

2月13日放送の日本テレビ「news every.」で「【記者発】 映画の世界が現実に?サイバー攻撃の脅威」というのが放送されて、少しですが私が映ってまーす。 【記者発】 映画の世界が現実に?サイバー攻撃の脅威(www.ntv.co.jp) 「セキュリティ・ミニキャンプ…

年度別セキュリティ情報ID番号の最大値を更新

年度別セキュリティ情報ID番号の最大値に2013年分を追加した。 年度別セキュリティ情報ID番号の最大値

セキュリティ・イベントログのイベントIDとメッセージのリスト

セキュリティ・イベントログのイベントIDとメッセージのリストが何処にあるのか忘れるのでメモ。 Windows vista と Windows Server 2008 のセキュリティ イベントの説明(support.microsoft.com) Windows Server 2008 R2 および Windows 7 でのセキュリティ…

キャプチャファイルのSLLをEthernetに書き換える方法

WiresharkなどでインタフェースをanyにするとL2がEthernetではなくSLL(Linux cooked-mode capture)になってしまいキャプチャファイルが他のツールで読めなくなることがあるので、SLLをEthernetに書き換える方法をメモ。 SLL(wiki.wireshark.org) TCPREWRIT…

Wiresharkの各種履歴を削除する方法

Wiresharkを使っていると最近使用したファイルやディスプレイフィルタ、キャプチャフィルタの履歴が残る。 便利なんだけど消したい時もあるのでメモ。 Wiresharkを起動して[Help]メニューの[About Wireshark]をクリックする [Folders]タブを選び、[Personal …

IISのログファイルのデフォルト形式と時間帯

ログについて話をしているときに、IISのログファイルに記録されている時間が-9時間ズレていることを言い忘れるのでメモ。 IIS ログ ファイルのエントリのタイム スタンプが間違っている(support.microsoft.com) 結論は下記の通り。 拡張ログ ファイル形式…

Solaris 10のarp -sで設定した静的エントリはpermanentを付けないとARPキャッシュポイゾニングで上書きされる

随分前からSPNのネットワークセキュリティコースでは話しているが、Solaris 10のarp -sで設定した静的エントリはpermanentを付けないとARPキャッシュポイゾニングで上書きされてしまう。 しかもARPキャッシュポイゾニングで上書きされたエントリはそのまま静…

Windowsでメッセージダイジェストを確認するためにfcivを使うことにした

サカナクションの「ミュージック」を聴きながらKali Linuxのisoファイルをダウンロードしたので、さっそく仮想マシンにインストールしようと思ったらエラーで失敗。sakanaction (初回生産限定盤CD+Blu-ray)アーティスト: サカナクション出版社/メーカー: ビ…

Torの可能性が高いパケットの見つけ方をネットワークパケット解析コースで解説します

最近、遠隔操作ウイルス事件のこともあってかTorの話を聞くことが多いので、「情報セキュリティ実践トレーニング 2013 Spring」のネットワークパケット解析コースではパケット解析演習の時間から1時間ほど貰ってTorの可能性が高いパケットの見つけ方を解説す…

BackTrack 5 R3でNetworkMinerを動かす方法

ネットワークパケット解析コースでも紹介しているNetworkMinerを、Monoを使ってBackTrack 5 R3で動かしてみた。 NetworkMiner(www.netresec.com) NetworkMiner in Linux with Mono(www.netresec.com) Mono(www.mono-project.com) BackTrack Linux(www…

「情報セキュリティ実践トレーニング 2013 Spring」の受講者を募集中!

2013年3月13日〜3月22日開催の「情報セキュリティ実践トレーニング 2013 Spring」の受講者を募集中です。 情報セキュリティ実践トレーニング 2013 Spring(www.sec-pro.net) 3月13日(水)〜3月15日(金) ネットワークセキュリティコース 3月18日(月)〜3月19日…

Windows Vista以降のシステム監査ポリシーの既定値

Windows Vista以降のシステム監査ポリシーの既定値をauditpolコマンドで調べてみた。 カテゴリ サブカテゴリ Vista(x86) 7(x86) 8(x86) 2008(x64) 2008R2(x64) 2012(x64) システム セキュリティ システムの拡張 監査なし 監査なし 監査なし 監査なし 監査な…

JVN#24343509が公開された

ずいぶん前に報告して放置してたから脆弱性の内容を全く覚えていないけど「WebSphere Application Server (WAS) におけるクロスサイトスクリプティングの脆弱性」(JVN#24343509)が公開された。 JVN#24343509: WebSphere Application Server (WAS) における…

年度別セキュリティ情報ID番号の最大値を更新

年度別セキュリティ情報ID番号の最大値に2012年分を追加した。 年度別セキュリティ情報ID番号の最大値

「情報セキュリティ実践トレーニング 2013 Winter」の受講者を募集中!

2013年1月19日〜1月26日開催の「情報セキュリティ実践トレーニング 2013 Winter」の受講者を募集中です。 今回もインシデント調査トレーニングとなります。 情報セキュリティ実践トレーニング 2013 Winter(www.sec-pro.net) 1月19日(土) インシデント調査…

サービスの「START_TYPE」と「スタートアップの種類」

scコマンドでサービスの設定を変更するときに、「START_TYPE」「スタートアップの種類」「scコマンドのstartの値」の表示がバラバラなので調べておいた。 START_TYPE スタートアップの種類 scコマンドのstartの値 0 BOOT_START ブート boot 1 SYSTEM_START …