アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

揮発性情報の取得に利用するコマンドの選択

例えば、現在実行中のプロセス情報を確認するという目的であれば、タスクマネージャのプロセスタブから確認することができますが、ここで表示される情報には、調査や追跡で必要となる実行パスが抜けてます。あえて揮発性情報を取得するのであれば、それが追跡や調査で利用できるだけの情報を取得できるものかを確認してから選択したほうがいいですよね。
個人的なお奨めは WinMSD のプロセス情報で出力されるのと同等の情報が得られるコマンドです。しかし、WinMSD であっても若干問題があります、WinMSD で出力されるプロセス情報には、実行ユーザ権限に関する情報が含まれていません。補助する目的で PULIST.EXE を実行したとしても不十分だったりします。DCOM 経由でプロセス実行しているケースでは、PULIST.EXE では正確なアクセス権が表示されません、情報がまったく無いよりはましですから、PULIST.EXE も気休めに実行しておいたほうがよいかもしれません。
最もお奨めは「プロセス追跡の監査」を有効に設定しておくことです。プロセスの開始日時・実行ユーザー名・プロセスパスなどが記録されていますし、すでに実行が終了しているプロセスについても調査できちゃうわけですからやはりログは大切です。*1
netstat コマンドも Windows XP/2003 であれば、netstat -nab などとすればプロセス情報とリンクした状態で確認することができますが、これも Port Reporter を導入していれば、あえて netstat でプロセスとポートの結びつきを確認しなくても OK のような気がします。*2
とはいえログの改ざんや消去といった事態も考えられますから、イベントログであれば EventReporter でリモートに飛ばしておくとか、事前に仕掛けはしておく必要がありますね。

*1:DCOM 経由でのプロセス実行も監査ログであれば最終的にどのユーザー権限で実行したのかわかります

*2:ただし、通信履歴はこれはと別に取っておいたほうがよいと個人的には思うです