アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

稼働中システムへの対応

なかなか盛り上がって?きてるんでしょうかね。>製品とかも

Tech Insight: Digital Forensics & Incident Response Go Live
http://www.darkreading.com/document.asp?doc_id=166678&WT.svl=news2_1

Thoughts on 2008 SANS Forensics and IR Summit
http://taosecurity.blogspot.com/2008/10/thoughts-on-2008-sans-forensics-and-ir.html

Evil Bits
Freebie Memory Analysis
http://www.darkreading.com/blog.asp?blog_sectionid=447&doc_id=160064

ただ、死んでる状態に比べて、稼働中システムへの対応では、より Windows の動きというかを色々と知ってないといけなそうなイメージというか、実際にそういう印象を受けている今日この頃です。
生きてるので動きっぱなしという点でも、調査手順をよく考えないとどんどん消えていくし・・・orz
従来はファイルシステム上にある情報をベースに考えればよかったと思いますが、稼働中に取得した揮発性情報と、ファイルシステム上の情報との差異をどう考えるべきかとか、なんか悩みが増えた気がしています。(例えばメモリダンプするのはよいんですが、メモリダンプも一瞬で終わるわけではなく、数分とかかかって取得すると、その間にファイルシステム上はどんどん変化するので、取得した揮発性情報とマッチしないというか、どう動いたのかイマイチわからない点が出てくるような)
とはいえ、メモリイメージからしか情報得られないケースというのが現実的に出てきてたりもするので、好きとか嫌いとかに関わらず否応なく考えないといけない状況にありますね。