アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

取得する範囲と探す対象

メモリイメージの解析でどこまでの情報をダンプするとより正確に調査が可能になるか?という点はあまり議論されているのを見たことがないのでそのあたりの話題も興味あるところです。

フォレンジック話を始めることにした。
http://d.hatena.ne.jp/xna/20090105/1231153156

現状、メモリダンプを行う場合、Pagefile.sys は置き去りになっていたりします。ページアウトされたデータは Pagefile.sys にあると思いますので、そっちが無い状況で解析時にどこまで影響があるのかは個人的に素朴な疑問だったりします。もちろん HBgary の FastDump(FDpro)ではメモリダンプ取得後に Pagefile.sys も保全する機能が追加されてきたりしますので、今後は対応は進んでいくことが予想されます。*1
あと、個人的には違和感があるのですが、現状どうしてもダンプした後のお話としては rootkitマルウェアの検知や解析ということがメインの機能として扱われています。しかし、個人的には何が隠されていたのか、隠されていたプロセスなりが持っているデータの内容に興味がありますし、メモリから取得できるデータとして各プロセスの持つデータの方が重要なのではないかという考えでいます。
あまり良い例ではないですが、例えば電子メールを調べたいと思った時に、電子メールプログラム自体の動作を解析したいわけではなく、送受信されたデータ(メール)の内容の方が重要って言えばいいんでしょうか。

そういえば、電車に乗りながらぼんやり考えていたのですが、プロセスのメモリ(プロセスの仮想メモリって言えばいいのかな?)をダンプした場合、例えば Notepad.exe のプロセスをダンプすると 4GB とかファイルが出来上がります。これはこれでよいとして、その読み出しにより物理メモリ上のデータにはどこまで影響が出るものなのかが気になっているところです。
手順的には物理メモリのダンプを先に実施してから、気になるプロセスのメモリをダンプしないと、上書きされるなどして失われるメモリ情報が多くなるんでしょうかね?

*1:現状はとりあえず保全だけでメモリイメージとPagefile.sysを合わせて解析はこれからなのかな?