アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

しゃどーうぉーかー

あっしはプログラミングさっぱりな人間なので、書いてある内容を十分に理解することはできないのですが、Shadow Walker の仕組みが何となくですが理解できました(^^;;、最近「はじめて読む486」を読んでいるんですがもっとお勉強しないとこの辺りの話題にはついていけません。

Shadow Walkerを実装してみた 1/2
http://d.hatena.ne.jp/egggarden/20090104/1231068036
Shadow Walkerを実装してみた 2/2
http://d.hatena.ne.jp/egggarden/20090105/1231068037

お仕事的には、こいうのが入っている(動作している)環境でそれらのドライバファイルやら痕跡を見つけないといけないわけですが、メモリフォレンジックでどこまで追跡できるのか興味あるところです。例題ではフックしているので RAM のメモリダンプを解析すると何かフックされているのが判明できる気がしますが、試しに解析してみないとどう見えるのか。WinDBGでこいうフックしている奴とか追えるのかも興味あるところです。
あーそもそも例題では仮想メモリの隠ぺいですけど、RAM をダンプする時にも同じようにダミーデータを返したりできるんでしょうかねぇ・・・その昔 id:rootkit な人に稼働中システムで dd が取得するイメージにダミーを送れるか?と聞いたことを思い出す今日この頃。
ということで、テスト環境の構築をぜひお願いします>後ろの席の人<追記>
id:xnaさんがメモリからの追跡方法について考察されています。

追記 (2009/01/05)
http://d.hatena.ne.jp/xna/20080923

んーもっと勉強しないと解説されていることの意味を十分に理解できない今日この頃...orz
そもそもがわかってない気がしますが、dd if=\\.\PhysicalMemory とかで RAM をダンプした場合って Shadow Walker が作り出すダミーの情報が戻るんですかね?もし、そうではないとすると、なんだかいけそうな気がする〜(ぉぃ