アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

ダンプしたメモリイメージの解析ツール

CEIC 2008 で教えてもらった HBgary の Responder ですが、ukky3 さんところの情報によると、BlackHat でトレーニングがあったみたいですね。

Black Hat & DEFCON @Las Vegas
http://d.hatena.ne.jp/ukky3/20080809/1218262677

帰国されてからのレポート楽しみにしてま〜す(^^)/
で一足先に? CCI さんのところでも Responder が話題に出てますね。

HBGary Responder
http://cci.cocolog-nifty.com/blog/2008/08/hbgary_responde.html

従来はメモリイメージをダンプしても、解析するのにかなり面倒なことになっていた気がするのですが、Responder を使うともう少し簡単になりますね。単なるメモリダンプからどんなプロセスが実行されていたのか、どこと通信していたのか、どのファイルがオープンされていたのか、などを GUI ベースで確認できるのは便利です。
とはいえ、例えばこの怪しげなプロセスが使っているメモリ空間にある日本語な文字列を調べたい!とか、このデータを抽出したい!とか、フォレンジック調査で使いそうなシーンについては、今後の対応に期待することになるのかなぁと個人的には感じてます。
Rootkit とか見つけたとして、HDD イメージとの対応というか連携を取りつつ、侵害状況などを調査していく必要があるので、そいう連携機能も期待したいところです。*1

そもそもメモリダンプを取る手順を詰めておかないといけなかったりもしますが。。。

*1:Responderで隠されたプロセスを発見した時に、「いやいやrootkit入ってるぢゃないのぉ、ところでrootkit自体はどこに居るんですかな?」となるのでその辺りがスムーズに調査ツールと連携できるようになると便利ですやね