Skip to content

2010/02

NetworkMiner でパケットキャプチャデータからファイルを復元する

@IT の 第3回 「鍵は“J”の中にあるよ」CTF by ダークナイト解答編 という記事中で NetworkMiner というネットワークフォレンジックツールが紹介されていたので試してみました。NetworkMiner はインストール不要で、NetworkMiner.exe をダブルクリックすれば実行出来ます。

file

上部のドロップダウンリストからキャプチャしたいインターフェイスを選び、右側の「Start」ボタンを押せばキャプチャ開始です。キャプチャを終了するには、更に右側の「Stop」ボタンを押します。キャプチャ終了後は NetworkMiner.exe と同じディレクトリに AssembledFiles ディレクトリ(私の環境では「C:\Program Files\NetworkMiner-0.91\AssembledFiles」)が作成され、そのディレクトリ以下にホスト名ディレクトリ、プロトコル名ディレクトリが作成され(私の環境では「C:\Program Files\NetworkMiner-0.91\AssembledFiles\10.0.1.168\FTP - TCP 20」)、その中にキャプチャしたデータから復元されたファイルが保存されます。

macOS で RDP(Remote Desktop Protocol)接続を実施する

Mac であっても、Microsoft が公式にリリースしている Remote Desktop Connection Client for Mac を使うと、リモートから Windows のターミナルサービスに接続することが出来ます。

file

あとは Windows のリモートデスクトップクライアント同様の使い方・使い心地です。Mac 用クライアントだからといって特別に劣る部分も無く、快適に利用出来ています。

XP からネットワークレベル認証を有効化した 2008 へリモートデスクトップ接続する

Windows Server 2008 では、システムのプロパティからリモートデスクトップの設定を行う際、「ネットワークレベル認証」を有効にした接続のみ、受け付けることが出来るようになりました。以前はリモートデスクトップ接続が 確立してから 認証が行われていましが、ネットワークレベル認証を有効にすることでリモートデスクトップ接続を 確立する前に 認証を実施出来るようになった為、DoS 攻撃などに対する耐性を上げることが出来ます。

file

ただし、Windows XP SP3 のターミナルサービスクライアント(バージョン 6.0.6001)ではこの機能をサポートしない為、ネットワークレベル認証を有効にした Windows Server 2008 へアクセスしても以下の通り、「リモートコンピュータには、お使いのコンピュータでサポートされていないネットワークレベルの認証が必要です。サポートが必要な場合は、システム管理者かテクニカルサポートに問い合わせてください」エラーが発生し、リモートデスクトップ接続を確立することが出来ません。

file

Windows XP SP3 でネットワークレベル認証を有効にするには、レジストリを変更する必要があります。

VMware SDK 4.0 付属サンプルを Visual Studio 2010 でビルドする

VMware vSphere Web Services SDK 4.0 を使うと、VMware の操作を作り込み、自動化することが出来ます。VMware vSphere Web Services SDK 4.0(以下、SDK)付属のサンプルを Visual Studio 2010 でビルドしてみたので、記録を残しておきます。ちなみに、Windows 環境下からの自動化が目的であれば、Automation Tools にある PowerShell を使った CLI の方が、自動化は容易かも知れません。

VMware Fusion で Ctrl を使った複数選択を有効にする

デフォルト設定の VMware Fusion では Ctrl キーを使った複数選択が出来ません。これは Ctrl キーを押しながら実行したアクションが、VMware Fusion 上の Windows ではなく、Mac OS 側で優先的に処理されてしまう為です。これを回避するには、VMware Fusion の環境設定から「キーマッピング」の「キーマッピングを有効にする」「言語固有のキーマッピングを有効にする」と、「マウスショートカット」の「副ボタン」「ボタン 3」からチェックを外し、無効化します。