以前のリビジョンの文書です


idxファイル(Java Applet Cache Index)の解析

  • Java Applet Cache Index(*.idx)には、アプレットが通信したURLが残っている。

  • Javaのキャッシュディレクトリは以下のとおり。
OS パス
Windows XP C:\Documents and Settings\<ユーザ名>\Application Data\Sun\Java\Deployment\cache
Windows 7 C:\Users\<ユーザ名>\AppData\LocalLow\Sun\Java\Deployment\cache
  • 手動で一つ一つ確認しても良いが、非常に手間が掛かるため、idxファイルを解析するためのスクリプトを使用すると効率が良い。

idx parser

使用例

  • Cygwin上でスクリプトを実行。
    • 必要なモジュールは適宜追加すること。
  • 解析するキャッシュディレクトリは「d:\cache」に事前にコピーしている。
# perl idx.pl -h
 idx.pl
 [option]
 Parse Java cache IDX files (
  -p path..................path to java cache
  -s Systemname............add systemname to appropriate field in tln file
  -u user..................add user (or SID) to appropriate field in tln file
  -h ......................Help (print this information)
 Ex: C:\> idx.pl -p C:\Documents and Settings\userprofile\Application Data\Sun\Java\Deployment\cache\ -s %COMPUTERNAME% -u %USERNAME% > events.txt
 **All times printed as GMT/UTC
 copyright 2012 Sploit
#
# perl idx.pl -p /cygdrive/d/cache/
1348060119|JAVA|||http://www.java.com/jsp_utils/jreVerification.class
1351155604|JAVA|||http://jvndb.jvn.jp/apis/myjvn/app/jnlp.jar
1351155604|JAVA|||http://jvndb.jvn.jp/apis/myjvn/app/checkadviser.jarjnlp
1350483479|JAVA|||http://java.com/jsp_utils/jreVerification.class
1351155604|JAVA|||http://jvndb.jvn.jp/apis/myjvn/app/x32/org.eclipse.swt.win32.win32.x86_3.5.2.v3557f.jar
1352538131|JAVA|||http://jvndb.jvn.jp/myjvn?method=getXccdfData&benchmarkId=win2003-64-vc
1351155604|JAVA|||http://jvndb.jvn.jp/apis/myjvn/app/checkadviser.jar
# 
malware/java-idx.1354079572.txt.gz · 最終更新: 2012/11/28 05:12 by kikuzou
 
特に明示されていない限り、本Wikiの内容は次のライセンスに従います: CC Attribution-Share Alike 4.0 International
Recent changes RSS feed Donate Powered by PHP Valid XHTML 1.0 Valid CSS Driven by DokuWiki