[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[osx-users:0299] 実は「ふぉれんじっく」な話題 (was Re: 有線無線のネットワーク管理 )
- To: osx-users@xxxxxxxxxx
- Subject: [osx-users:0299] 実は「ふぉれんじっく」な話題 (was Re: 有線無線のネットワーク管理 )
- From: ISHIKAWA Yasuhisa <vm@xxxxxxxxxxxxxxxxxx>
- Date: Sun, 16 Feb 2003 21:05:58 +0900
石川です。
# 既にかなりこのML向きじゃない気もしますが続けます(笑
# 長文です。失礼します。
Hideaki Ihara <hideaki@xxxxxxxxxxxxx> wrote:
> こんにちは、Port139 伊原です。
> > ○[Macsec] Mac OS X Forensics Paper Available
> > http://online.securityfocus.com/archive/127/304890/2003-01-01/2003-01-07/0
> > (に書いてある、Wordのドキュメント)
> ざっくり眺めただけですが、基本から始まって十分な情報が掲載されて
> いて良い文書ですね、とても参考になりました。あっちに投げておこ...
# あっちに投げられたのを確認しました。:-)
> Mac OS X ってループバックデバイスあるのかしら?という別の疑問が
> ちょっと発生したのですが(^^;;
#「lo0なら有るけど...」と最初思ったヘタレな私。
# web見回って、不正アクセス調査ガイドのP132を読んで帰ってきました。
# ループデバイスの意味の方ですよね(汗
えと、要はディスクイメージをマウントして、中身を読み出せれば良い
ということでしょうか?(汗
とりあえず詳細は他の方に、という事で、勘違いしてるかもしれませんが
私が書ける分だけ書いてみます。
対象マシンも解析マシンもMac OS Xだとすると、
% dd if=/dev/hoge of=huga.img
して作られるディスクイメージは、上記ドキュメントの5ページ目に
While in the GUI, the permissions were changed to read-only for
both disk images and mounted as such using Disk Utility.
とあったり、<http://www.sans.org/rr/mac/forensic.php> に、
Now you need to navigate to the image you just created and
mount it by double clicking on it.
とある様に、“mount -t FILE_SYSTEM -o ro,loop 〜”とかしなくても
GUI上の操作で読込専用でイメージをマウントして中を見れますです。
# ただ、“Disk Utility”は恐らく“Disk Copy”の間違いです。
# “Disk Copy”は「アプリケーション→ユーティリティ→Disk Copy」です。
コマンドラインからディスクイメージを読込専用マウントするには、
% hdid -readonly huga.img
でOKです。
ただし、後述しますが dd で /dev/disk〜 から書き出す際、管理者権限を
求められ、sudo dd 〜 で作業することになり、作られたイメージのパーミッ
ションが「644」になるので、(adminではなく)rootでログインして作業し
ない限りは、-readonly オプション無しでも読込専用になります。
# でないと、上のGUIでは読込専用でCLIでは読書可能っていう、
# 訳わからん状態になりますので。
ただ、対象マシンも解析マシンもMac OS Xでは無かった場合(対象マシン
がWindowsで解析はOS Xとか)の場合は良く解らないです。
# どなたかの解説を希望。
## TASKを使えば本当にNTFSとかext2とかのイメージを読めるんだろーか...
ってもしかして「ループバックデバイス」って、そういう話じゃなかったり
します?(汗
んで、勘違いしてるかもしれないのに、ちょこっと試してみた結果を
書いてみます。
----------
手元にある領域をイメージ化してMD5取ってマウントしてとかやってみます。
# テストなんでシングルユーザモードではやっていません。
以下、イメージ化対象は、Mac OS X 10.2.4のマシンに /Volumes/free
としてマウントされている領域です。
○対象領域のデバイス名を確認
% df | grep /Volumes/free
/dev/disk0s10 16108840 5011640 11097200 31% /Volumes/free
○対象領域をアンマウント
% sudo umount -f /Volumes/free
#“umount -f”して良いのかはよく解りませんが、まぁ出来るので。
○対象領域のMD5ハッシュ値を取得
% sudo md5 /dev/disk0s10
MD5 (/dev/disk0s10) = 45a01a111f27f67dabd78197a98098e2
○対象領域をイメージ化
% sudo dd if=/dev/disk0s10 of=/Users/hoge/disk1.img
Password:
16110240+0 records in
16110240+0 records out
8248442880 bytes transferred in 2285.003146 secs (3609817 bytes/sec)
○単なる確認
% ls -la ~/disk1.img
-rw-r--r-- 1 root staff 8248442880 Feb 16 19:52 /Users/hoge/disk1.img
○イメージのMD5ハッシュ値を確認
% md5 ~/disk1.img
MD5 (/Users/hoge/disk1.img) = 45a01a111f27f67dabd78197a98098e2
※MD5ハッシュ値が変わっていない事を確認
○イメージをマウント
% hdid ~/disk1.img
/dev/disk2 /Volumes/free
○mount コマンドで状態を確認
% mount
<中略>
/dev/disk2 on /Volumes/free (local, nodev, nosuid, read-only)
※read-onlyでマウントされている事を確認
○ちなみに、イメージをダブルクリックすると、/Applications/Utility/
Disk Copy.appが起動し、自動的に読込専用でマウントされる。
Disk Copyを起動して、「ファイル」メニュー→「イメージをマウント...」
でも可。
○イメージをアンマウント
% sudo umount -f /Volumes/free
# 同じく“umount -f”で良いのか...。
○元の/Volumes/freeをマウント
% sudo mount_hfs /dev/disk0s10 /Volumes/free
----------
こんな感じで、マウントしたイメージの中を眺められます。
> > # 伊原さんがMac OS X関係のドキュメントを書く日が来るのを
> # Mac OS X で TASK&Autopsy って感じですな :-)
# TripwireがMac OS Xに対応した暁にはそちらも。:-)
> よく言われてることですが、OS 標準で IPsec が実装されている、という
> のは OS が何であれ大きなポイントだと思います。
そうですね。このスレッドでのMac OS Xの話で言えば、AirMac BSなり
Cisco製品なりを用意してLEAPで行くよりも、IPsecにした方がすっきり
するんじゃないかと。
# まぁIPsecにしたらしたで大規模だったりすると鍵交換はどうするの?
# とか解らないことだらけですが。
> 少なくとも Mac OS X を触ったことなかった私でも 2時間ほどで IPsec
> による通信が一応できるようになったわけですし。。。
> #その 2時間もほとんど OS の 触り方で悩んでたわけですし(^^;;
まぁ、Terminal立ち上げちゃえば「何か変なBSD」として使えなくも
ないとゆーか。(^^;;
>
> > ## ってか、このスレッドにメール書くまで「IKEって食えるの?」
>
> ## 食べ始めはちょっと苦いらしいです ;)
## はぐぅ...
--
石川 泰久/vm_converter
vm@xxxxxxxxxxxxxxxxxx
--[PR]------------------------------------------------------------------
【おすすめサービス】
第1位『WEBで確かめてね!』 無料登録でプレゼントが当たるチャンス!
第2位「JWord」 200万人以上が利用!コレさえあれば検索サイト不要!?
第3位「着ムリョ!」 おなじみ無料着メロ。新曲もゾクゾク更新中♪
▼ 毎 週 更 新 ! => http://m.freeml.com/i.php?id=36
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online www.gmo.jp