アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

メモリイメージ内のレジストリからハッシュ値をダンプする

メモリイメージファイル内の SAM レジストリからハッシュをダンプするには、hashdump コマンドを使います。すでに SYSTEM と SAM ハイブの仮想アドレスを入手できているので、それらのオフセット位置を指定します。今回のイメージでは -y 0xe1018370 -s 0xe1372b60 を指定することになります。

volatility hashdump -f c:\temp\physmem.bin -y 0xe1018370 -s 0xe1372b60

Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
HelpAssistant:1000:d22c0a7b8a52d2ec30035dbc450518c8:bba958d7f6af008992fe7e53b7a77c17:::
SUPPORT_388945a0:1002:aad3b435b51404eeaad3b435b51404ee:77d0a577852566378aedb69af041b85c:::
test:1003:133839b0814f0bfa6591bb5472a3ad4a:83bf2cde68e3f9a7b9415c1dc4a835e8:::

ハッシュ値が表示されました。Administratorアカウントのパスワードは空なので見慣れたハッシュ値が表示されていますが、この中では test アカウントがパスワード設定されています。
取得したハッシュ値が、正しい値かどうか確認するため、とりあえず LM (LanManager) Reverse Hash via Rainbow Tables サイトを使い LANMAN ハッシュを 解析してみます。
すると結果として「133839B0814F0BFA6591BB5472A3AD4A = FORENSICS」ということで、正しくパスワード(ハッシュ)が解析されていることが確認できました。