アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

Kntlist実行方法

よく確認したら、実行方法に関する記述がまだないんですね。基本的な使い方はこんな↓感じらしいです。

Kntlist.exe -v -o [PATH] --log

“-o”オプションを指定することでファイルとして保存できます。ただし、ローカルドライブに保存するには“--localwrt"オプションを指定する必要があります。これは証拠へ書き込まない為の仕様ってやつですかね。*1たとえば、ダンプした情報を memory.txt というファイル名で保存するにはこんな↓感じになります。

kntlist.exe -o memory.txt --localwrt

出力されたファイルの中に DX32HHEC.SYS が含まれていれば、きっと感染してますよね・・・残念。*2

*1:調査対象PCのディスクへ書き込むと、削除ファイルや削除データが失われてしまいます!

*2:出力に含まれてないから、感染してないとは言えませんけど