アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

揮発性情報は信用できるのか?

揮発性情報の取得目的によりますが、怪しいものがいないか確認したいということであれば、そもそも『見えるのか?』という問題がありますね。
最近はすっかりメジャーになった? rootkit ですが、昔のファイル置換により隠蔽するタイプではなく、正規のコマンド実行でも情報を隠蔽できる、カーネルモード rootkit が最近では主流のような気がしないでもありませんし、その技術は日々進歩していますやね。
『見えない』かもしれないのに、揮発性情報としてプロセス情報や通信状況を確認しようとするのは何故なんでしょうか?
個人的な超勝手な推測では、恐らく参考文献に書いてあるからなんでしょうけど、それらが書かれた時代と現時点ではかなり状況が違っているような気もします。
見えないかもしれないのに、わざわざ危険を承知でログオンしてまで何を調べるのか疑問だったりするのですが、ひょっとすると単に気休めで情報を取得するケースが多かったりもするんでしょうか。
攻撃が進歩するのに対して、防御側の進歩つーのはあまりないんですかねぇ。*1
rootkit に対抗する検知ツールも進化していますが、なんつーか「ぜんぶすきゃんしてはけーん、すぐ削除」という感じで、被害状況などを把握したいといった向きではかなり微妙な動きをしてくれるものも多数あります。

*1:まぁ大抵この手のお話をしていると検知よりはいかに隠すかのほうが話題として盛り上がるわけですが