アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

後から確認メモ

(1)コマンドプロンプトなどから実行されたプログラムの引数が確認できるか?、Volatility Framework 用のプラグイン suspicious でいけそうな雰囲気があるけど、手元ですぐに動かないので後から再度実験するか HBgary Responder で確認。例えば hxdef100.exe hoge.ini などのコマンドラインで起動された場合に、hoge.ini とかが確認できるとそれはそれで嬉しいので。
(2)TrueCrypt passphrasesプラグインを試す、というか動かしたけど、GUI から暗号化ファイルをマウントした状態のメモリイメージで試してダメだったので、コマンドラインで試してみる。
(3)モジュールを抽出するVolatility Framework 用のプラグイン moddump を試してみる。プロセスの取り出しは先日試したけど、SYS ファイルの取り出しとかできるのか確認。Responder なら Save as... ですぐできて簡単なんだけど...
http://lists.volatilesystems.com/pipermail/vol-users/2009-January/000088.html
これもなかなか面白そうなプラグイン
http://www.mnin.org/video/malfind/malfind.html
というか、この辺りのオペレーションを WinDBG でも可能なのかは知りたいところですかね。
(4)win32ddで取得したクラッシュダンプファイルでヒープを見ようとすると以下になる。なんか手順を間違えている気がするので後からちょっと調べる。

16.kd> .process 8211b620
Implicit process is now 8211b620
16.kd> !reload
Loading Kernel Symbols
...............................................................
.....................................................
Loading User Symbols
...............
Loading unloaded module list
....
16.kd> !heap
No heaps to display.
You must specify the actual heap address since
array of process heaps is inaccessible
16.kd> !heap -a
No heaps to display.
You must specify the actual heap address since
array of process heaps is inaccessible

(5)TSKの日本語マニュアルがあったので、あとから拝見。最近触ってないなぁ>The Sleuth Kit
http://www.kazamiya.net/