アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

Kntlist

Windows用のツールになりますが、カーネルオブジェクトをダンプすることができる?ツールが公開されています。(ライセンスに注意のこと)
作者は forensic acquisition utilities の George 氏です。まだベータ段階のためか、VMware 環境で -o と --localwrt 付けて実行するとアプリケーションエラーが発生するようです。

Kntlist http://users.erols.com/gmgarner/kntlist/

実はこのツールを使うことで DX32HHEC.SYS の存在をオンラインで検知できないかなぁ〜と考えていたのですがテストできず(泣)
もし BackDoor-CHR に感染した環境をお持ちのかたは、ぜひ試して結果を教えてください(笑)