idxファイル(Java Applet Cache Index)の解析
- Javaの脆弱性を悪用されてウイルスに感染した場合、キャッシュファイルに何らかの手がかりが残っている可能性がある。
- Javaのキャッシュディレクトリは以下のとおり。
| OS | パス |
|---|---|
| Windows XP | C:\Documents and Settings\<ユーザ名>\Application Data\Sun\Java\Deployment\cache |
| Windows 7 | C:\Users\<ユーザ名>\AppData\LocalLow\Sun\Java\Deployment\cache |
- Java Applet Cache Index(*.idx)には、アプレットが通信したURLが残っている。
- 手動で一つ一つ確認しても良いが、非常に手間が掛かるため、idxファイルを解析するためのスクリプトを使用すると効率が良い。
idx parser
- Javaのidxファイルを解析するためのPerlスクリプト。
- キャッシュディレクトリ内のidxファイルを解析して、URL一覧(TLN format)を表示することが可能。
使用例
- Cygwin上でスクリプトを実行。
- 必要なモジュールは適宜追加すること。
- 解析するキャッシュディレクトリは「d:\cache」に事前にコピーしている。
# perl idx.pl -h idx.pl [option] Parse Java cache IDX files ( -p path..................path to java cache -s Systemname............add systemname to appropriate field in tln file -u user..................add user (or SID) to appropriate field in tln file -h ......................Help (print this information) Ex: C:\> idx.pl -p C:\Documents and Settings\userprofile\Application Data\Sun\Java\Deployment\cache\ -s %COMPUTERNAME% -u %USERNAME% > events.txt **All times printed as GMT/UTC copyright 2012 Sploit # # perl idx.pl -p /cygdrive/d/cache/ 1348060119|JAVA|||http://www.java.com/jsp_utils/jreVerification.class 1351155604|JAVA|||http://jvndb.jvn.jp/apis/myjvn/app/jnlp.jar 1351155604|JAVA|||http://jvndb.jvn.jp/apis/myjvn/app/checkadviser.jarjnlp 1350483479|JAVA|||http://java.com/jsp_utils/jreVerification.class 1351155604|JAVA|||http://jvndb.jvn.jp/apis/myjvn/app/x32/org.eclipse.swt.win32.win32.x86_3.5.2.v3557f.jar 1352538131|JAVA|||http://jvndb.jvn.jp/myjvn?method=getXccdfData&benchmarkId=win2003-64-vc 1351155604|JAVA|||http://jvndb.jvn.jp/apis/myjvn/app/checkadviser.jar #
特に明示されていない限り、本Wikiの内容は次のライセンスに従います: CC Attribution-Share Alike 4.0 International
