アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

ResponderデモとFastDumpツール

CEIC 会場で HBgary がブースを出していたので、担当者*1に Responder の画面などを見せてもらい簡単な説明をうけました。*2
デモでは _rootkit_ なドライバが存在しているメモリイメージの解析の簡単な方法や、どんな情報が得られるかを見せていましたが、一通りの流れは HBgary の動画でも同じ内容が説明されています。
フォレンジック調査的には、ロードされている rootkit のドライバで隠されたファイルが、どのパス上に存在しているのかなどが知りたいわけですが、その辺りの情報もプロセス情報から追跡することができるようで、なかなか興味深かかったです。
ついでに、FastDump についても聞いてみたのですが、現状では Windows XPWindows Server 2003 に対応しているということのようでした(正確に聞き取れたか自信ありません)。Windows Vista へは、今後の対応予定ということで、この辺りは KnTTools のほうが対応が進んでいるみたいですね。
ちなみに、FastDumpはWebからの入手方法がわからなかったので、直接いただきました。

*1:他ならぬGreg Hoglund氏

*2:値段もちょっと聞いているのですがそこそこのお値段しますね、まぁ数が出る製品ではないと思いますが