ハニーポット作成中 - ハニーポッターの部屋

昨日から仕込み中。とりあえず暫定公開してウィルスを捕獲中。SDbotを即捕獲。そのあとも続々捕獲。面倒なので、administratorのパスワードを変えた。あとは、slammer捕獲用のわなとかも仕掛けとくかな。
●DynamicDNS関係
DynamicDNS Client DiCE
http://www.hi-ho.ne.jp/yoshihiro_e/dice/
フリーDynamicDNSサービスサイト一覧
http://www.hi-ho.ne.jp/yoshihiro_e/dice/#LIST
DynamicDNSサービス利用者投票
http://www.hi-ho.ne.jp/cgi-bin/user/yoshihiro_e/ranking.cgi
ZiVE.Org Dynamic DNS
http://www.zive.org/

●Network Forensic関係
○Network Data Control
Ethereal
http://www.ethereal.com/
WinPca
http://winpcap.polito.it/
VIGIL
http://homepage2.nifty.com/spw/software/vigil/
TCPDUMP man
http://www.linux.or.jp/JM/html/tcpdump/man1/tcpdump.1.html
http://members.jcom.home.ne.jp/j-klein/unix/tcpdump.html
http://x68000.q-e-d.net/~68user/net/tcpdump.html
WinPcap
http://winpcap.polito.it/

○IDS
snort
http://www.snort.gr.jp/
WindowsでSnortを動かしてみる(Snort+IDScenter)
http://www.snort.gr.jp/docs/idscenter/menu.html
Snort geographic manager v1.30 report+
http://i9001f.hp.infoseek.co.jp/
Snort 1.8.3 for Windows NT Server / 2000 / XP
Using IIS and Snortsnarf to view alerts...
(ウィンドウ使用者のための Snort 1.8.3 設置ガイド及び IIS と
Snortsnarf を使ったログ VIEW)
snort と商用侵入検知システムとの評価 (Intrusion Detection Evaluation)
http://www.securitymap.jp/sdm/docs/ids/WinSnortSnarf.pdf
http://www.softagency.co.jp/MySQL/downloads/mysql/4.0.html
snortsnarf
http://www.snort.org/dl/contrib/data_analysis/snortsnarf/
oinkmaster
http://www.snort.gr.jp/docs/use_oinkmaster/index.html

○ログ分析
PortReporter用ログ分析ツール - PortReporter Parser
http://www.7th-angel.net/seculog/item/883.html

Detecting Worms and Abnormal Activities with NetFlow, Part 1
http://www.securityfocus.com/infocus/1796
NetFlowを用いたワームや異常活動らしい

○レジストリチェック
Windows レジストリの差分を取る
http://alectrope.ddo.jp/mt/archives/2004/07/09/windows_registry_diff
RegDiff - Registry Differences Picker
http://hp.vector.co.jp/authors/VA000007/regdiff.htm
a! Reg Analyzer
http://homepage3.nifty.com/t-sugiyama/ARA/Readme.txt
http://www.7th-angel.net/seculog/item/780.html


●Computer Forensic関係
autopsy
http://www.net-security.org/software.php?id=216
http://www.monyo.com/technical/unix/TASK/autopsy-help-ja/
http://www.port139.co.jp/forensics/Autopsy.ppt

Forensic Acquisition Utilities
http://users.erols.com/gmgarner/forensics

wiconv
http://www.alles.or.jp/~hasepyon/wiconv/wiconv-0.1.lzh
http://www.port139.co.jp/forensics/dd-strings.ppt

Kntlist
http://users.erols.com/gmgarner/kntlist/

CmdLine
http://www.diamondcs.com.au/index.php?page=console-cmdline

やました工房
http://www001.upp.so-net.ne.jp/yamashita/product/index.htm
ProcessWalker(
http://www001.upp.so-net.ne.jp/yamashita/product/pw41.htm
DriverWalker
http://www001.upp.so-net.ne.jp/yamashita/beta/dw.htm

winmsd.exe系、svchost.exe系調べる。

Digital Forensic Research Workshop 2004
http://www.dfrws.org/bios/dfrws04agenda-linked.htm


●ハニーポット
Honeypot
http://www.infinitel00p.com/library/honeypot.pdf

Slammer捕獲
nc -n -w 1 -u xxx.xxx.xxx.xxx 1434

Impost
http://impost.sourceforge.net/
偽装ポートを簡単スクリプトで作成可能らしい


●その他調べるツール
PortQryUI - User Interface for the PortQry Command Line Port Scanner
http://www.microsoft.com/downloads/details.aspx?FamilyID=8355e537-1ea6-4569-aabb-f248f4bd91d0&DisplayLang=en