idxファイル(Java Applet Cache Index)の解析

  • Javaの脆弱性を悪用されてウイルスに感染した場合、キャッシュファイルに何らかの手がかりが残っている可能性がある。
  • Javaのキャッシュディレクトリは以下のとおり。
OS パス
Windows XP C:\Documents and Settings\<ユーザ名>\Application Data\Sun\Java\Deployment\cache
Windows 7 C:\Users\<ユーザ名>\AppData\LocalLow\Sun\Java\Deployment\cache
  • Java Applet Cache Index(*.idx)には、アプレットが通信したURLが残っている。

  • 手動で一つ一つ確認しても良いが、非常に手間が掛かるため、idxファイルを解析するためのスクリプトを使用すると効率が良い。

idx parser

使用例

  • Cygwin上でスクリプトを実行。
    • 必要なモジュールは適宜追加すること。
  • 解析するキャッシュディレクトリは「d:\cache」に事前にコピーしている。
# perl idx.pl -h
 idx.pl
 [option]
 Parse Java cache IDX files (
  -p path..................path to java cache
  -s Systemname............add systemname to appropriate field in tln file
  -u user..................add user (or SID) to appropriate field in tln file
  -h ......................Help (print this information)
 Ex: C:\> idx.pl -p C:\Documents and Settings\userprofile\Application Data\Sun\Java\Deployment\cache\ -s %COMPUTERNAME% -u %USERNAME% > events.txt
 **All times printed as GMT/UTC
 copyright 2012 Sploit
#
# perl idx.pl -p /cygdrive/d/cache/
1348060119|JAVA|||http://www.java.com/jsp_utils/jreVerification.class
1351155604|JAVA|||http://jvndb.jvn.jp/apis/myjvn/app/jnlp.jar
1351155604|JAVA|||http://jvndb.jvn.jp/apis/myjvn/app/checkadviser.jarjnlp
1350483479|JAVA|||http://java.com/jsp_utils/jreVerification.class
1351155604|JAVA|||http://jvndb.jvn.jp/apis/myjvn/app/x32/org.eclipse.swt.win32.win32.x86_3.5.2.v3557f.jar
1352538131|JAVA|||http://jvndb.jvn.jp/myjvn?method=getXccdfData&benchmarkId=win2003-64-vc
1351155604|JAVA|||http://jvndb.jvn.jp/apis/myjvn/app/checkadviser.jar
# 
malware/java-idx.txt · 最終更新: 2012/11/28 05:37 by kikuzou
 
特に明示されていない限り、本Wikiの内容は次のライセンスに従います: CC Attribution-Share Alike 4.0 International
Recent changes RSS feed Donate Powered by PHP Valid XHTML 1.0 Valid CSS Driven by DokuWiki