アカウント名:
パスワード:
ここで言ってる「遠隔操作(iesys.exe)」ってあらゆることができる完全なバックドアではないよね?
別にあらゆることができなくてもいいんじゃない?ボットネットの作り方と一緒で、うまくいったケースだけ頑張ればいい
遠隔操作の本当の真犯人の手口の種明かししてみます http://matome.naver.jp/odai/2136089025623964501 [naver.jp]
あ、そういう意味じゃなくて、タレこみ文の>>被告のPCで遠隔操作プログラムが作成された可能性は十分ありそうだが、それが第三者によって遠隔操作で行われた可能性は否定できずっていうけど、iesys.exeじゃこれだけのこと遠隔操作でできないですよね?って意味の質問だったの。
•PCはHP製のものだった•PCにはHDD中に3つのパーティションがあり、また光学ドライブ(E:)があった•それらに加え、TruCryptというソフトウェアで作成された仮想ドライブ(F:)も存在した•PCには4回に渡ってVisual C# 2010 Expressがインストール/アンインストールされた痕跡があった↑この辺まではソフト会社なら普通に有り得る事で「iesys.exe」でこれらの情報を得た上で
•HDD中に遠隔操作プログラムである「iesys.exe」や、そのデバッグデータである「iesys.pdb」などの痕跡が残っていた↑ここの段を「ターゲットを真似た環境でビルド」or「普通に自分でビルドしたものの環境情報の改竄」を行い、「iesys.exe」を使ってそれらを置けばいけるんじゃない?
検察の挙げるファイルスラック領域にデバッグ中に一時に作成されるファイルの削除痕跡があったことからすると、単にファイルを持ってきただけではなくて開発の過程を当該PCで再現するようにファイル作成・削除を実行したことになりますね。
削除、については TrueCryptのドライブごと削除(移動)された、ということではないでしょうか。実際にこの端末でビルドされなくてもこの状況は実現しうると思います。
関連スクリプトが サクラエディタで編集が行われた、という情報が地味に効いている気もします。環境にサクラエディタがインストールされていることをみつけ、その編集痕跡がべったりついたファイルを準備して送り込む、というのはなかなか考えないつかないことで、可能ではあるけども用意周到すぎるかなと。
ファイルスラック領域の話、理解してます?
>削除、については TrueCryptのドライブごと削除(移動)された、ということではないでしょうか。>実際にこの端末でビルドされなくてもこの状況は実現しうると思います。
この端末上でビルドしたら、作業ファイルや何やら生成されて、削除されますよね。自動的に。ファイルスラック領域は、ファイルを削除された後、再利用可能な状態にされた領域です。よくデフラグをすると空き領域が増えるとか、ディスクが速くなるとかいう話があるでしょう?そういう領域の話です。
そこのファイルスラック領域にビルドした際に生成されるファイルがあったから、このPC上でビルドされたと認識できるという話です。真犯人が別の環境で作った偽の作業ファイルを置いた、という単純な方法で作れるものではありません。これをiesysでやったとするのは説明できないので、別のトロイの木馬の存在が不可欠です。
だから弁護側がやるべきことは、その別のトロイの木馬を見つけることです。
iesys.exe を使ってそれらを一度置いて、また、別の版のそれらで上書きすることを期間を明けて何度か繰り返せば、解析されたような状態のファイルスラック領域を用意することは不可能じゃないけれど。
この「証拠」を読む限り、もし片山容疑者じゃない、真犯人が何処かにいるとしても、そいつは、恐ろしく用意周到ですね。
うんまあ俺も相当回りくどい感じはするのだけども。
この件の犯人って、既に判明している情報でも少なくとも最初に遠隔操作してから3か月間を置いてから犯行声明を出すような計画的忍耐強さを見せてるのでそんな犯人がこの片山君を有罪にする事をこの事件のクライマックスとして本気で突き詰めて企んでるとしたらという可能性を考えると、「そこまで考えてやるもんかねぇ?」という予断はちょっと危険かな、とも思う。
>「ターゲットを真似た環境でビルド」or「普通に自分でビルドしたものの環境情報の改竄」を行い
結局そこですよね。見ればマネできる情報が幾ら事細かくあった所で、それは単に後付けで同じ情報を付与したのかもしれませんし。検察としては「こんなに細かく色々合致してるんだやっぱりこいつが・・・!」って印象操作したいのでしょうが。そこが幾つ合致しようが欠片も真実度は上がってないと言う。
・・・けど、ビットとバイトの説明から受けなきゃいけない裁判官ならこれくらいでも引っかかりそう。
そもそもFドライブってTrueCryptボリュームなわけだから、ダウンロードしてマウントすれば完了じゃね?Fドライブで開発されてた痕跡が・・・とか言われても、そりゃ痕跡ごとダウンロードしてたら当然。
ああ、>被告人使用のgmail受信メールや被告人が通っていた居合道場のサイトを閲覧した履歴が認められる。ってのは勝手にダウンロードされた物ではないという何よりの証拠になるか。
iesys.exeの機能があれば、完全なバックドアを置けるよね。
完全なバックドアおいたら痕跡残るんじゃね?
バックドアも自爆させることができるんじゃないかな。
会社のパソコンでしょ、セキュリティ上難しいと思うけど。。
バックドアのような遠隔操作ではなく、掲示板経由の操作だから、会社のパソコンでも可能かな。この仕組みだと・・・何でも出来るというよりは、掲示板に書込まれた操作命令によって動くってことだから、それなりの制限があると思う。
もちろん、掲示板に書かれたコマンドを読み取って実行出来るとかしとけば、ある程度自由に出来るけどね。掲示板のログとか残っているのかなぁ?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア
魔法 (スコア:0)
ここで言ってる「遠隔操作(iesys.exe)」ってあらゆることができる完全なバックドアではないよね?
Re:魔法 (スコア:1)
別にあらゆることができなくてもいいんじゃない?
ボットネットの作り方と一緒で、うまくいったケースだけ頑張ればいい
遠隔操作の本当の真犯人の手口の種明かししてみます
http://matome.naver.jp/odai/2136089025623964501 [naver.jp]
Re: (スコア:0)
あ、そういう意味じゃなくて、タレこみ文の
>>被告のPCで遠隔操作プログラムが作成された可能性は十分ありそうだが、それが第三者によって遠隔操作で行われた可能性は否定できず
っていうけど、iesys.exeじゃこれだけのこと遠隔操作でできないですよね?
って意味の質問だったの。
Re:魔法 (スコア:2)
•PCはHP製のものだった
•PCにはHDD中に3つのパーティションがあり、また光学ドライブ(E:)があった
•それらに加え、TruCryptというソフトウェアで作成された仮想ドライブ(F:)も存在した
•PCには4回に渡ってVisual C# 2010 Expressがインストール/アンインストールされた痕跡があった
↑この辺まではソフト会社なら普通に有り得る事で「iesys.exe」でこれらの情報を得た上で
•HDD中に遠隔操作プログラムである「iesys.exe」や、そのデバッグデータである「iesys.pdb」などの痕跡が残っていた
↑ここの段を
「ターゲットを真似た環境でビルド」or「普通に自分でビルドしたものの環境情報の改竄」を行い、
「iesys.exe」を使ってそれらを置けばいけるんじゃない?
Re:魔法 (スコア:2)
検察の挙げるファイルスラック領域にデバッグ中に一時に作成されるファイルの削除痕跡があったことからすると、単にファイルを持ってきただけではなくて開発の過程を当該PCで再現するようにファイル作成・削除を実行したことになりますね。
Re: (スコア:0)
削除、については TrueCryptのドライブごと削除(移動)された、ということではないでしょうか。
実際にこの端末でビルドされなくてもこの状況は実現しうると思います。
関連スクリプトが サクラエディタで編集が行われた、という情報が地味に効いている気もします。
環境にサクラエディタがインストールされていることをみつけ、その編集痕跡がべったりついた
ファイルを準備して送り込む、というのはなかなか考えないつかないことで、可能ではあるけども
用意周到すぎるかなと。
Re: (スコア:0)
ファイルスラック領域の話、理解してます?
>削除、については TrueCryptのドライブごと削除(移動)された、ということではないでしょうか。
>実際にこの端末でビルドされなくてもこの状況は実現しうると思います。
この端末上でビルドしたら、作業ファイルや何やら生成されて、削除されますよね。自動的に。
ファイルスラック領域は、ファイルを削除された後、再利用可能な状態にされた領域です。
よくデフラグをすると空き領域が増えるとか、ディスクが速くなるとかいう話があるでしょう?
そういう領域の話です。
そこのファイルスラック領域にビルドした際に生成されるファイルがあったから、このPC上でビルドされたと認識できるという話です。
真犯人が別の環境で作った偽の作業ファイルを置いた、という単純な方法で作れるものではありません。
これをiesysでやったとするのは説明できないので、別のトロイの木馬の存在が不可欠です。
だから弁護側がやるべきことは、その別のトロイの木馬を見つけることです。
Re: (スコア:0)
「トロイの木馬があったのではないか?」と疑義を呈するだけです。
検察は「そんなものはない」と答えるのは簡単でしょうけど、裁判官の心証がどうなるかは不明です。
「客観的にトロイがインストールされなかった証明」ができればかなり万全でしょう。
実際の裁判はドラマみたいに証拠の突きつけ合いにはなかなかなりません。
Re: (スコア:0)
iesys.exe を使ってそれらを一度置いて、また、別の版のそれらで上書きすることを
期間を明けて何度か繰り返せば、解析されたような状態のファイルスラック領域を
用意することは不可能じゃないけれど。
この「証拠」を読む限り、もし片山容疑者じゃない、真犯人が何処かにいるとしても、
そいつは、恐ろしく用意周到ですね。
Re:魔法 (スコア:3)
うんまあ俺も相当回りくどい感じはするのだけども。
この件の犯人って、既に判明している情報でも
少なくとも最初に遠隔操作してから3か月間を置いてから犯行声明を出すような計画的忍耐強さを見せてるので
そんな犯人がこの片山君を有罪にする事をこの事件のクライマックスとして本気で突き詰めて企んでるとしたら
という可能性を考えると、「そこまで考えてやるもんかねぇ?」という予断はちょっと危険かな、とも思う。
Re: (スコア:0)
>「ターゲットを真似た環境でビルド」or「普通に自分でビルドしたものの環境情報の改竄」を行い
結局そこですよね。
見ればマネできる情報が幾ら事細かくあった所で、それは単に後付けで同じ情報を付与したのかもしれませんし。
検察としては「こんなに細かく色々合致してるんだやっぱりこいつが・・・!」って印象操作したいのでしょうが。
そこが幾つ合致しようが欠片も真実度は上がってないと言う。
・・・けど、ビットとバイトの説明から受けなきゃいけない裁判官ならこれくらいでも引っかかりそう。
Re: (スコア:0)
そもそもFドライブってTrueCryptボリュームなわけだから、ダウンロードしてマウントすれば完了じゃね?
Fドライブで開発されてた痕跡が・・・とか言われても、そりゃ痕跡ごとダウンロードしてたら当然。
Re: (スコア:0)
ああ、
>被告人使用のgmail受信メールや被告人が通っていた居合道場のサイトを閲覧した履歴が認められる。
ってのは勝手にダウンロードされた物ではないという何よりの証拠になるか。
Re: (スコア:0)
ゆうちゃんにキー吐かせてTrueCryptをマウントさせてvprojがあればいいけど、なかったとしてもiesys.exe専用の隠しボリュームを持ってる疑いが残るから何も証明できないし。
Re: (スコア:0)
iesys.exeの機能があれば、完全なバックドアを置けるよね。
Re: (スコア:0)
完全なバックドアおいたら痕跡残るんじゃね?
Re: (スコア:0)
バックドアも自爆させることができるんじゃないかな。
Re: (スコア:0)
会社のパソコンでしょ、セキュリティ上難しいと思うけど。。
バックドアのような遠隔操作ではなく、掲示板経由の操作だから、会社のパソコンでも可能かな。
この仕組みだと・・・何でも出来るというよりは、掲示板に書込まれた操作命令によって動くってことだから、それなりの制限があると思う。
もちろん、掲示板に書かれたコマンドを読み取って実行出来るとかしとけば、ある程度自由に出来るけどね。
掲示板のログとか残っているのかなぁ?