アカウント名:
パスワード:
HDD中に遠隔操作プログラムである「iesys.exe」や、そのデバッグデータである「iesys.pdb」などの痕跡が残っていた
pdbファイルはデバッグ用のシンボル情報が格納されたファイルです。gccで-gオプションをつけたときに作成されるものと同じです。ELFではバイナリファイルに埋め込まれますが、Windowsでは別ファイルになります。通常、公開するようなファイルではありませんから、ソースを持っていて、しかも自分でビルドしていないとまず保有していることはありえません。
開発時の環境に関する情報として、F:ドライブの「vproj」ディレクトリを含むファイルパスが含まれていた
.vprojはVisual Studioのプロジェクトファイルです。遠隔操作に使われたexeに、F:\...(なんかのフォルダ)..\iesys.projのような情報が残っていたということでしょう。おまえのPCのFドライブで開発したんだよね?ってことです。状況証拠とはいえ、Fドライブなんてあまり使いませんし、そのドライブをTrueCryptで暗号化していたとなれば、めちゃくちゃ怪しいと思います。
表の結論: 真っ黒裏の結論: TrueCrypt役に立たたねえー
同じくそう思う。
つか俺が犯人なら>ソースを持っていて、しかも自分でビルドしていないと遠隔操作でソースを入れてビルドするけど。
>状況証拠とはいえ、Fドライブなんてあまり使いませんし、
え、今使ってる会社PC、内蔵HDDがC、Y、Z、外付けHDDがJ、K、TrueCryptボリュームがN、USBメモリがM、実DVDドライブがD、リムーバブル(カードリーダ)がF、G、H、I、仮想DVDドライブがLにドライブレターついてるんだけど「異常な使い方してる、怪しい」なの・・・・?
それだけで怪しいというわけじゃないでしょ反論するための反論はやめなよ
いや、それだけじゃないことはわかるんだけど、「Fドライブなんてドライブレター使っている」ってこと自体はやっぱり怪しい条件の一つとして数え上げられるの?
>> F:ドライブの「vproj」ディレクトリ>.vprojはVisual Studioのプロジェクトファイルです。vprojはディレクトリ名と明記されているうえ、Visual Studioのプロジェクトファイルの拡張子は.vsprojですよ、っと。
--Windowsに詳しい方より
VS2010って.vsxprojじゃなかったっけ?
Google先生が「もしかして:.vcxproj 」を出してますよ
C#の場合は.csproj、C++の場合は.vcxproj
C Sharp ProjectとVisual C ++ Projectの意味って解ればとても解りやすい拡張子ですな。# +を回転してxにしてるのはアレだけど。
g:\vprojというディレクトリを作ってた俺としては危うく容疑者になりかねなかったんだな。
C:,D:+光学ドライブ(E:)でリムーバブルドライブがF:〜というのはよくある気がしますが。
この理屈だと、殺人事件で凶器がたまたま捨てられた畑を耕してる爺さんだって犯人って言える気がするんだけど警察が自分で柵をのぞき込んで「柵は誰ものぞけないはずだから爺さん以外犯人じゃない」ってなもんでさ。
役に立たない,とは「ドライブレターが割り当てられる」ことへのコメントでしょうか?
NTFSではUnix的なmountもできるので,「Fドライブ」ではなく「C:\Data」とか適当なディレクトリ以下にTrueCryptボリュームを割り当てる,という運用はできないものですかね?
ちょっとズレるけど、DOSの頃に出来たのって「ディレクトリにドライブレターを割り当てること」だっけ?
記憶があやふやなんだけど、昔、深いディレクトリにドライブレター割り当てて使ってたことがあったような気がしなくもない。
> ちょっとズレるけど、DOSの頃に出来たのって「ディレクトリにドライブレターを割り当てること」だっけ?
substコマンドですね。
SASIなHDDに大戦略入れた際にはお世話になりました>subst
#それだけなのでAC
ディレクトリにドライブレターを割り当てることも、ドライブを適当なディレクトリに割り当てることも、どっちもできます。DOSの頃だけじゃなくて、今のWindowsでもできるよ。
ちなみに、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\DOS Devicesに、"F:"="\??\C:\foo\bar"というエントリを追加する事でログイン時に自動的に割り当てる事も出来るし、内部的にDefineDosDevice APIを呼び出すプログラムを書いても出来る。
# この件、もし該当PCでビルドされてたとしても、Fドライブが本当にTruCryptのドライブだったかすら疑問。# アンマウントされてUSBメモリとかになってた可能性とかはどうなの?# 普通にフォレンジックしたなら過去の接続デバイスも解るはずなんだけど、ちゃんと現物とか押さえてるの?
ボリュームにセーラー戦士の名前つけようと思えばFドライブなんて余裕で使うだろ。
#そのためだけにパーティション切ってた時代が私にもありました。
内容が馬鹿の妄言でしかないくせに偉そうに語ってるからだろう
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
Windowsに詳しくない方へ (スコア:-1)
HDD中に遠隔操作プログラムである「iesys.exe」や、そのデバッグデータである「iesys.pdb」などの痕跡が残っていた
pdbファイルはデバッグ用のシンボル情報が格納されたファイルです。
gccで-gオプションをつけたときに作成されるものと同じです。ELFではバイナリファイルに埋め込まれますが、Windowsでは別ファイルになります。
通常、公開するようなファイルではありませんから、ソースを持っていて、しかも自分でビルドしていないとまず保有していることはありえません。
開発時の環境に関する情報として、F:ドライブの「vproj」ディレクトリを含むファイルパスが含まれていた
.vprojはVisual Studioのプロジェクトファイルです。
遠隔操作に使われたexeに、F:\...(なんかのフォルダ)..\iesys.projのような情報が残っていたということでしょう。
おまえのPCのFドライブで開発したんだよね?ってことです。
状況証拠とはいえ、Fドライブなんてあまり使いませんし、そのドライブをTrueCryptで暗号化していたとなれば、めちゃくちゃ怪しいと思います。
表の結論: 真っ黒
裏の結論: TrueCrypt役に立たたねえー
Re:Windowsに詳しくない方へ (スコア:1)
わざわざvprojフォルダ掘ってそこにプロジェクト置くようなヤツがOutputDirだけ別ドライブに分ける理由が分からん。
明らかに外部から持ち込まれたとしか思えなくね?
Re: (スコア:0)
同じくそう思う。
つか俺が犯人なら
>ソースを持っていて、しかも自分でビルドしていないと
遠隔操作でソースを入れてビルドするけど。
Re: (スコア:0)
>状況証拠とはいえ、Fドライブなんてあまり使いませんし、
え、今使ってる会社PC、内蔵HDDがC、Y、Z、外付けHDDがJ、K、TrueCryptボリュームがN、USBメモリがM、
実DVDドライブがD、リムーバブル(カードリーダ)がF、G、H、I、仮想DVDドライブがLにドライブレターついてるんだけど
「異常な使い方してる、怪しい」なの・・・・?
Re: (スコア:0)
それだけで怪しいというわけじゃないでしょ
反論するための反論はやめなよ
Re: (スコア:0)
いや、それだけじゃないことはわかるんだけど、
「Fドライブなんてドライブレター使っている」ってこと自体は
やっぱり怪しい条件の一つとして数え上げられるの?
Re: (スコア:0)
Re: (スコア:0)
>> F:ドライブの「vproj」ディレクトリ
>.vprojはVisual Studioのプロジェクトファイルです。
vprojはディレクトリ名と明記されているうえ、Visual Studioのプロジェクトファイルの拡張子は.vsprojですよ、っと。
--
Windowsに詳しい方より
Re: (スコア:0)
VS2010って.vsxprojじゃなかったっけ?
Re: (スコア:0)
Google先生が「もしかして:.vcxproj 」を出してますよ
Re: (スコア:0)
C#の場合は.csproj、C++の場合は.vcxproj
Re: (スコア:0)
C Sharp ProjectとVisual C ++ Projectの意味って解ればとても解りやすい拡張子ですな。
# +を回転してxにしてるのはアレだけど。
Re:Windowsに詳しくない方へ (スコア:1)
# CXXFLAGS
Re: (スコア:0)
g:\vprojというディレクトリを作ってた俺としては危うく容疑者になりかねなかったんだな。
Re: (スコア:0)
C:,D:+光学ドライブ(E:)でリムーバブルドライブがF:〜というのはよくある気がしますが。
Re: (スコア:0)
この理屈だと、殺人事件で凶器がたまたま捨てられた畑を耕してる爺さんだって犯人って言える気がするんだけど
警察が自分で柵をのぞき込んで「柵は誰ものぞけないはずだから爺さん以外犯人じゃない」ってなもんでさ。
Re: (スコア:0)
役に立たない,とは「ドライブレターが割り当てられる」ことへのコメントでしょうか?
NTFSではUnix的なmountもできるので,「Fドライブ」ではなく「C:\Data」とか適当なディレクトリ以下にTrueCryptボリュームを割り当てる,という運用はできないものですかね?
Re:Windowsに詳しくない方へ(おふとぴ) (スコア:0)
ちょっとズレるけど、DOSの頃に出来たのって「ディレクトリにドライブレターを割り当てること」だっけ?
記憶があやふやなんだけど、昔、深いディレクトリにドライブレター割り当てて使ってたことがあったような気がしなくもない。
Re:Windowsに詳しくない方へ(おふとぴ) (スコア:1)
> ちょっとズレるけど、DOSの頃に出来たのって「ディレクトリにドライブレターを割り当てること」だっけ?
substコマンドですね。
Re: (スコア:0)
SASIなHDDに大戦略入れた際にはお世話になりました>subst
#それだけなのでAC
Re: (スコア:0)
ディレクトリにドライブレターを割り当てることも、ドライブを適当なディレクトリに割り当てることも、どっちもできます。
DOSの頃だけじゃなくて、今のWindowsでもできるよ。
Re:Windowsに詳しくない方へ(おふとぴ) (スコア:1)
ちなみに、
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\DOS Devices
に、"F:"="\??\C:\foo\bar"というエントリを追加する事でログイン時に自動的に割り当てる事も出来るし、
内部的にDefineDosDevice APIを呼び出すプログラムを書いても出来る。
# この件、もし該当PCでビルドされてたとしても、Fドライブが本当にTruCryptのドライブだったかすら疑問。
# アンマウントされてUSBメモリとかになってた可能性とかはどうなの?
# 普通にフォレンジックしたなら過去の接続デバイスも解るはずなんだけど、ちゃんと現物とか押さえてるの?
Re: (スコア:0)
ボリュームにセーラー戦士の名前つけようと思えばFドライブなんて余裕で使うだろ。
#そのためだけにパーティション切ってた時代が私にもありました。
Re: (スコア:0)
内容が馬鹿の妄言でしかないくせに偉そうに語ってるからだろう