@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

メモリダンプ関連

時間なくて全然読めてないので、いつかよく読むか、隣の席の人に解説を後日お願いしよっと。

http://d.hatena.ne.jp/xna/20090508

FastDumpよりも、KntToolsの方が優れているのではないのかという気が個人的にはしないでもないですが、いずれにしてもメモリをダンプ方法はそれほど選択肢がなくて、どのツールも似たりよったりな手法になってしまうのではないかと個人的には予想しているんですが、工夫次第なんでしょうかね?
いずれにしても、メモリダンプの段階で既存ツールが対応できずデータが取得できていない状況は、その後の解析に進めない、もしくは進んでも何も得られない状況になるのでアレですね。
PacSecって11月にあるんだ、一度も見に行ったことがないんで行ってみたいなぁと思ったら重なってる...orz
そのVM環境?をチャレンジ対象に、どこまで既存ツールやら手動で追跡できるかをみんなで遊んで調べてみたいなぁ。