アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

プログラムのデータ

rootkitマルウェアの解析とかでは“なく”、例えば Notepad.exe(メモ帳)を起動して、Hello とか書いてから、notepad.exe のプロセスメモリか、物理メモリをダンプ。このメモリイメージで ntepad.exe のメモリから Hello という文字列を WinDBG とかで探し出すにはどうするか?という辺りは、通常デバッガとかではあまり発生しない要求なのか中々面倒そうな感じですね。