文字列の抽出

文字列の抽出
(Strings)
2005/01/30
伊原秀明(Port139)
文字列抽出の注意点
• ddで作成したファイルシステムイメージから、
strings コマンドを使い文字列を抽出する場合
例：Autopsy Keyword Searching 機能など
• セクタの物理的な並びに注意する必要がある
• 日本語文字列を抽出する場合には文字コー
ドにも注意しなければならない
• 参照：Autopsy HELP
『grep Search Limitations』
© Hideaki Ihara(Port139).
2
連続したセクタから文字列を抽出
• ひとつのファイルとして割り当てられた領域内
であれば問題ない
1クラスタ(2セクタ分）使用
・・・・・・TE ST・・・・・・
Slack
Space
文字列として抽出
© Hideaki Ihara(Port139).
3
未使用領域を含め文字列を抽出
• 文字列としては存在するが、誤認している
• 物理的な並びで抽出した場合には注意
1クラスタ(2セクタ分）使用
Slack
Space
・・・・・・TE ST・・・・・・
TE ST・・・・・・
データの使用部分
文字列として抽出
© Hideaki Ihara(Port139).
4
フラグメント状態で文字列を抽出
• ファイルがフラグメントされていると、文字列
が分割され抽出されない
データの先頭部分
1
4
・・・・・・・・・・・・・TE
2
3
ST・・・・・・
5
データの続き
文字列としては存在
© Hideaki Ihara(Port139).
5
文字列の検索
• ddのイメージファイルから、文字列を検索する
（文字列の１６進数値を利用する）
• 以下のツールを利用すれば、文字コード毎の
１６進数値を確認することができる
• wiconv （hasegawayosuke氏作）
http://www.alles.or.jp/~hasepyon/
• cpconv (umq氏作）
http://www.port139.co.jp/forensics/cpconv/
© Hideaki Ihara(Port139).
6
CPCONV
• 入力した文字列を
コードページ毎に
１６進数値で表示
※http://msdn.microsoft.com/library/en-us/intl/unicode_81rn.asp
© Hideaki Ihara(Port139).
7

Download Report