以前は結構 Windows のパスワード ハッシュ（NTLM、LANMAN）に関する資料が Web 上にあった気がするのですが、いざ探すとよさげなのがありませんね。探し方が悪かったらしい。 第9回 人の造りしもの――“パスワード”の破られ方と守り方 http://www.atmarkit.co…

メモリイメージファイル内の SAM レジストリからハッシュをダンプするには、hashdump コマンドを使います。すでに SYSTEM と SAM ハイブの仮想アドレスを入手できているので、それらのオフセット位置を指定します。今回のイメージでは -y 0xe1018370 -s 0xe1…

まず hivescan を実行し、ハイブのオフセット位置を確認します。コマンドラインとしては以下になります。 volatility hivescan -f RAMイメージファイル名.dmp 実行するとオフセット位置が表示されます。手元では VMware上のWindows XP Sp2（メモリ 382M）で…

volreg-0.2.zipファイルを展開すると、forensics,memory_objects,memory_plugins の三つのフォルダが作成されます。それぞれのフォルダにあるファイルを、Volatility-1.3_Beta配下にある該当フォルダ配下にコピーします。プラグインを認識しているかどうかは…

メモリフォレンジック ツール Volatility Framework のプラグインとして、メモリイメージ内に存在するレジストリを確認できるものがあります。このプラグインを使うと、win32dd などでダンプした物理メモリイメージファイルに含まれるレジストリを確認するこ…

動かすにはモジュールとして PyCrypto が必要ということなんですが、このモジュールどうやらコンパイルが必要な様子。コメント欄によると、コンパイル済みのWindows用バイナリが下記URLにあるということで、Python 2.6用のバイナリをダウンロード。 PyCrypto…