アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

メモリダンプに含まれるレジストリの解析

メモリフォレンジック ツール Volatility Framework のプラグインとして、メモリイメージ内に存在するレジストリを確認できるものがあります。このプラグインを使うと、win32dd などでダンプした物理メモリイメージファイルに含まれるレジストリを確認することが可能になり、更に SAM キーからハッシュ値や LSA のダンプを行うことが可能です。*1

Memory Registry Tools!
http://moyix.blogspot.com/2009/01/memory-registry-tools.html
Registry Code Updates
http://moyix.blogspot.com/2009/01/registry-code-updates.html

Volatility Framework を Windows 上で動かす(試す)場合には、Python 2.6.1 をインストールし、The Volatility Framework が動作可能な状態にします。手元では Python 3.0 だとうまく動いてくれないので、2.6.1 を利用しています。

*1:HDDイメージがあればそっちからやった方が早いんではないのか?という噂はありますが、それはそれとしてメモリイメージでも可能っては、クラッシュダンプやハイバネーションファイルでもいけるのではないかという点では範囲が広がりますやね