アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

メモリダンプネタ

今回は、ネットワーク経由でのフォレンジックで、iSCSIを使ってライトブロックを実現するF-Responseと、HBgaryのResponderの組み合わせについてでした。プレゼン資料を作っていた金曜日の夜になってから Responder 1.4でメモリ中に含まれるパスワード解析機能やブラウザ履歴・ドキュメント解析機能が付いていることを発見。
VMware上で環境とかちょっと構築してみていたのですが、テスト不足でネタ発表までにはパスワード系は間に合わずでした。
具体的にどの様なパターン。というか情報をメモリダンプから引っ張ってきているのかまだ理解できていませんが、ブラウザ履歴の方は単純にhttpなどのURLと解釈できる文字列を発見したら一覧表示してくれるという雰囲気です。
解析時にあらかじめ指定した文字列パターンの検索を実施することもできるようなのですが、試したのですがいまいち使い方がわからずです、例えば forensics とか単語を登録しておいて、その文字列をメモリダンプ内で発見したら一覧表示してくれるのではないかと勝手に推測しています。(発見した文字列が関連するプロセスなどもそこから追跡できるとより嬉しいわけですが)

ドキュメント関係は、HTMLページやGIF画像などのパターン?を発見すると、それらを一覧表示してくれます。ただ、発見したデータ部分を自動的に取り出すといった機能は現時点では実装されてないようで、HTMLページを再現するなどの作業は別途手動でやる必要がありそうです。とはいえ、これまでのマルウェア解析の機能中心だったものが、フォレンジック調査で使える機能が搭載されてきています。