アカウント名:
パスワード:
HDD中に遠隔操作プログラムである「iesys.exe」や、そのデバッグデータである「iesys.pdb」などの痕跡が残っていた
pdbファイルはデバッグ用のシンボル情報が格納されたファイルです。gccで-gオプションをつけたときに作成されるものと同じです。ELFではバイナリファイルに埋め込まれますが、Windowsでは別ファイルになります。通常、公開するようなファイルではありませんから、ソースを持っていて、しかも自分でビルドしていないとまず保有していることはありえません。
開発時の環境に関する情報として、F:ドライブの「vproj」ディレクトリを含むファイルパスが含まれていた
.vprojはVisual
役に立たない,とは「ドライブレターが割り当てられる」ことへのコメントでしょうか?
NTFSではUnix的なmountもできるので,「Fドライブ」ではなく「C:\Data」とか適当なディレクトリ以下にTrueCryptボリュームを割り当てる,という運用はできないものですかね?
ちょっとズレるけど、DOSの頃に出来たのって「ディレクトリにドライブレターを割り当てること」だっけ?
記憶があやふやなんだけど、昔、深いディレクトリにドライブレター割り当てて使ってたことがあったような気がしなくもない。
> ちょっとズレるけど、DOSの頃に出来たのって「ディレクトリにドライブレターを割り当てること」だっけ?
substコマンドですね。
SASIなHDDに大戦略入れた際にはお世話になりました>subst
#それだけなのでAC
ディレクトリにドライブレターを割り当てることも、ドライブを適当なディレクトリに割り当てることも、どっちもできます。DOSの頃だけじゃなくて、今のWindowsでもできるよ。
ちなみに、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\DOS Devicesに、"F:"="\??\C:\foo\bar"というエントリを追加する事でログイン時に自動的に割り当てる事も出来るし、内部的にDefineDosDevice APIを呼び出すプログラムを書いても出来る。
# この件、もし該当PCでビルドされてたとしても、Fドライブが本当にTruCryptのドライブだったかすら疑問。# アンマウントされてUSBメモリとかになってた可能性とかはどうなの?# 普通にフォレンジックしたなら過去の接続デバイスも解るはずなんだけど、ちゃんと現物とか押さえてるの?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell
Windowsに詳しくない方へ (スコア:-1)
HDD中に遠隔操作プログラムである「iesys.exe」や、そのデバッグデータである「iesys.pdb」などの痕跡が残っていた
pdbファイルはデバッグ用のシンボル情報が格納されたファイルです。
gccで-gオプションをつけたときに作成されるものと同じです。ELFではバイナリファイルに埋め込まれますが、Windowsでは別ファイルになります。
通常、公開するようなファイルではありませんから、ソースを持っていて、しかも自分でビルドしていないとまず保有していることはありえません。
開発時の環境に関する情報として、F:ドライブの「vproj」ディレクトリを含むファイルパスが含まれていた
.vprojはVisual
Re:Windowsに詳しくない方へ (スコア:0)
役に立たない,とは「ドライブレターが割り当てられる」ことへのコメントでしょうか?
NTFSではUnix的なmountもできるので,「Fドライブ」ではなく「C:\Data」とか適当なディレクトリ以下にTrueCryptボリュームを割り当てる,という運用はできないものですかね?
Re:Windowsに詳しくない方へ(おふとぴ) (スコア:0)
ちょっとズレるけど、DOSの頃に出来たのって「ディレクトリにドライブレターを割り当てること」だっけ?
記憶があやふやなんだけど、昔、深いディレクトリにドライブレター割り当てて使ってたことがあったような気がしなくもない。
Re:Windowsに詳しくない方へ(おふとぴ) (スコア:1)
> ちょっとズレるけど、DOSの頃に出来たのって「ディレクトリにドライブレターを割り当てること」だっけ?
substコマンドですね。
Re: (スコア:0)
SASIなHDDに大戦略入れた際にはお世話になりました>subst
#それだけなのでAC
Re: (スコア:0)
ディレクトリにドライブレターを割り当てることも、ドライブを適当なディレクトリに割り当てることも、どっちもできます。
DOSの頃だけじゃなくて、今のWindowsでもできるよ。
Re:Windowsに詳しくない方へ(おふとぴ) (スコア:1)
ちなみに、
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\DOS Devices
に、"F:"="\??\C:\foo\bar"というエントリを追加する事でログイン時に自動的に割り当てる事も出来るし、
内部的にDefineDosDevice APIを呼び出すプログラムを書いても出来る。
# この件、もし該当PCでビルドされてたとしても、Fドライブが本当にTruCryptのドライブだったかすら疑問。
# アンマウントされてUSBメモリとかになってた可能性とかはどうなの?
# 普通にフォレンジックしたなら過去の接続デバイスも解るはずなんだけど、ちゃんと現物とか押さえてるの?