アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

怪しいから取り出してみる

さて、メモリ上で hxdef100.exe という怪しいプロセスを発見したとして、このプロセスというかを取り出してみたいと思ったのですが、残念ながら WinDBG だと簡単ではないんでしょうかね?
ということで、Volatility framework には procdump(Dump a process to an executable sample)があるぞと ukky3 さんに教えていただいたので、それで抽出してみる。*1

C:\>Volatility-1.3_Beta\volatility procdump -p 1928 -f c:\case\Evidence\w32ddRAM.bin
c:\Volatility-1.3_Beta\forensics\win32\crashdump.py:31
: DeprecationWarning: the sha module is deprecated; use the hashlib module instead
  import sha
************************************************************************
Dumping hxdef100.exe, pid: 1928   output: executable.1928.exe
Memory Not Accessible: Virtual Address: 0x491000 File Offset: 0x91000 Size: 0x1000
Memory Not Accessible: Virtual Address: 0x496000 File Offset: 0x96000 Size: 0x1000

さて、このコマンドで抽出された executable.1928.exe(サイズ608KB)を Virustotal に突っ込んでみると以下に結果が得られ、ちゃんとHacker Defender と識別されてますね。

アンチウイルス バージョン 更新日 結果
a-squared 4.0.0.73 2009.01.14 Backdoor.Win32.HacDef.fh!IK
AhnLab-V3 2009.1.13.3 2009.01.14 Win-Trojan/HackDef.70656.N
AntiVir 7.9.0.54 2009.01.13 BDS/Hacdef.073.Z
Authentium 5.1.0.4 2009.01.13 W32/Hackdef.J
Avast 4.8.1281.0 2009.01.13 Win32:HacDef-LB
AVG 8.0.0.229 2009.01.13 BackDoor.Hacdef.C
BitDefender 7.2 2009.01.14 Generic.Hacdef.3156715F
CAT-QuickHeal 10.00 2009.01.14 Backdoor.HacDef.ky
ClamAV 0.94.1 2009.01.14 Trojan.HacDef.073.B
Comodo 927 2009.01.13 Backdoor.Win32.HacDef
DrWeb 4.44.0.09170 2009.01.13 BackDoor.HackDef.272
eSafe 7.0.17.0 2009.01.13 -
eTrust-Vet 31.6.6306 2009.01.13 Win32/HacDef.E
F-Prot 4.4.4.56 2009.01.13 W32/Hackdef.J
F-Secure 8.0.14470.0 2009.01.14 Backdoor.Win32.HacDef.ky
Fortinet 3.117.0.0 2009.01.14 -
GData 19 2009.01.14 Generic.Hacdef.3156715F
Ikarus T3.1.1.45.0 2009.01.14 Backdoor.Win32.HacDef.fh
K7AntiVirus 7.10.584 2009.01.09 -
Kaspersky 7.0.0.125 2009.01.14 Backdoor.Win32.HacDef.ky
McAfee 5494 2009.01.13 HackerDefender.gen.c
McAfee+Artemis 5494 2009.01.13 HackerDefender.gen.c
Microsoft 1.4205 2009.01.14 Backdoor:Win32/Hackdef.BJ
NOD32 3763 2009.01.13 Win32/HacDef
Norman 5.93.01 2009.01.13 -
Panda 9.5.1.2 2009.01.13 Bck/Hacdef.gen
PCTools 4.4.2.0 2009.01.13 Backdoor.HacDef.MF
Prevx1 V2 2009.01.14 System Back Door
Rising 21.12.21.00 2009.01.14 Backdoor.HacDef.br
SecureWeb-Gateway 6.7.6 2009.01.13 Rootkit.Hacdef.100.A
Sophos 4.37.0 2009.01.14 Troj/HacDef-T
Sunbelt 3.2.1831.2 2009.01.09 -
Symantec 10 2009.01.14 Backdoor.HackDefender
TheHacker 6.3.1.4.219 2009.01.14 Trojan/hackdef.d3
TrendMicro 8.700.0.1004 2009.01.14 BKDR_HACDEF.GEN
VBA32 3.12.8.10 2009.01.13 suspected of Embedded.Backdoor.HacDef.073.b
ViRobot 2009.1.14.1558 2009.01.14 Backdoor.Win32.HacDef.622592.B
VirusBuster 4.5.11.0 2009.01.13 Backdoor.HacDef.MF

ということで、サンプルで試してみましたが、クラッシュダンプファイルだけでなく、ハイバネーションファイルでも同じことができるので、ハイバネーションファイルが残っていて不審なプロセスとかあれば、それを取り出してウイルスチェックしてみるとか色々できそうですね。

*1:というか、プロセスリストもみれますけど、それはそれとして