[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[port139:01560] LC4 & SAM (Re: Echo Reply)

To: port139@xxxxxxxxxxxxxxxxxxxxx
Subject: [port139:01560] LC4 & SAM (Re: Echo Reply)
From: Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Date: Tue, 03 Dec 2002 09:36:41 +0900

いはらです。

sonoda_michio@xxxxxxxxxxxxxxxx さんは書きました:
>しかしくれぐれもご無理なさらないように。

＃ばりばり働くんですね、って国分さんみたいにいぢめる人がいるんですよぉ(T_T)

>＃JWNTUGニュースレターで既報ですが、LC４出てますよ。

LC4 - The Password Auditing and Recovery Application
http://www.atstake.com/research/lc/

Stalk では見向きされてないことになっている Forensic 関係でも LC4 は重要な
役割を持ってると思いますが、インシデントが発生したシステムの SAM をどのよ
うに保全するかという課題がありますね。

生きている(Live)システムであれば、LC4 でも pwdump2 でもいいので SAM から
パスワード ハッシュを取得できますが、電源を落としてしまってかつ別のシス
テムで解析する場合、Windows 2000 以降は Syskey が有効なので解析ができに
くいかと思います。（というか基本的にできませんよね？）

でもバックドア アカウントが作られた場合、そのパスワードとか調査するのも
手がかりとしては重要な気がしますし、脆弱なパスワードが存在していたのか
も調査しないといけない気がしてます。

とすると

 1.電源落とす前に SAM をダンプするのを忘れないようにする
 2.HDD を保全して、複製から起動する（HDD の用意が問題になる？）
 3.SAM を別のシステムへ移植する（できるのか？）

という感じでしょうか。Protected Storage（綴り失念）を解析することを考慮
すると 2 がいいんですが、RAID とか巨大な場合は複製を準備するのがコスト
的に課題になりそうです。（起動するのはリスクがありますが、複製だし;)
1 は“ログオンできれば”という前提がありますね、Administrator の名前を
でたらめにされて、かつアカウント全部消されると。。。

3 は JWNTUG Security ML でも話題に出ていましたが、技術的にまだ手順が確
立されてないようですが、可能だと便利な気がします。

ということで、ケーキオフの課題？は SAM の移植でしょうか（笑）


---

Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/

References:
- [port139:01553] Re: Echo Reply
  - From: sonoda_michio

Prev by Date: [port139:01559] Re: Patch NOT Found のカウント
Next by Date: [port139:01561] Re: Echo Reply ++
Previous by thread: [port139:01553] Re: Echo Reply
Next by thread: [port139:01562] Re: 書籍： Hacker's Challenge
Index(es):
- Date
- Thread