Wireshark達人への道 第十七歩 SMB1のフォルダ削除を追跡
「Wireshark達人への道 第十六歩 共有フォルダ削除したのだれ?」、「NURO光 ZTE F660Aでファイル共有が突然できなくなったら読んでください」と説明してきましたので、SMB3だけではなくSMB1のフォルダ削除追跡方法もご紹介します。
古いNASやNURO光のZTE F660Aを使っている方は、今だSMB1を使っている場合がありますので、2020年5月現在でも無益な知識ではないと思います。
ZTE F660Aに接続したUSBキーを\\smbshareとして共有できるというところまで、「NURO光 ZTE F660Aでファイル共有が突然できなくなったら読んでください」の記事で説明させていただきました。
それでは、\\smbshareにフォルダとファイルを作成し、SMB3の様にフォルダを削除したことが追跡できるかを試してみましょう。
最後に、復習もかねて「Wireshark達人への道 第一歩 ファイル復元」の知識を使ってフォルダとファイルの復元ができるかを試してみましょう。
フォルダとファイルの構成は以下とします。
\\smbshare\samba\deletion\hogemoge.txt筆者の検証環境では、SMB3と異なりフォルダの作成や削除を捕捉するにはSMBのコマンドコードを利用するのが吉でした。
プラットフォームやバージョンによって、コマンドコードが異なります。こちらの@ITさんのサイトをご一読ください。
以下に今回利用したSMB1のコマンドコードを記載します。
| 番号 | コマンド名 | 意味 |
| 0x01 | SMB_COM_DELETE_DIRECTORY | フォルダの削除 |
図1が0x01を表示フィルタにかけた画像です。deletionフォルダを削除したのが捕捉できています。
最後にフォルダとファイルを復元してみましょう。
「Wireshark達人への道 第一歩 ファイル復元」で紹介したrawデータからの復元とは異なり、SMBの復元はメニューがあります!
ファイル名が、“%5Cフォルダ名%5Cファイル名”で復元されました。(%5Cは、バックスラッシュの意味です )
フォルダごとの復元は対応していないようですが、フォルダ名ファイル名は判別できるので手動編集で対応しましょう。
フォルダごと奇麗に復元する方法があれば、ご教示ください。
最新記事 by 伊集院 (全て見る)
- 【暗号化通信(TLS)を復元できる】WIRESHARK達人への道 第二十五歩 暗号化通信(TLS)を復号する方法 - 1月 1, 2023
- 【詳細版】NSM(ネットワークセキュリティモニタ)、Zeekとは? - 9月 1, 2022
- 【簡易版】OSSネットワークセキュリティモニタZeekとは? - 8月 26, 2022