アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

先頭ページに存在するデータ

Win32ddが取り忘れていた?らしいメモリの先頭ページですが*1、「Challenges of Windows physical memory acquisition and exploitation」のAppndixから参照されている資料などによると、認証情報が含まれているケースがあるんですね。

Bypassing pre-boot authentiation passwords by instrumenting the BIOS keyboard buffer
(pratial low level attaks against x86 pre-boot authentiation softwares)
http://www.ivizsecurity.com/research/preboot/preboot_whitepaper.pdf

簡単に試せるのがあるといいんですけど・・・
Vista Sp1以前の Bitlocker と TPM の組み合わせ環境とかだと面白いんでしょうかね。

BitLocker, Brossard’s Pre-boot Authentication Research, and the BSI
http://blogs.msdn.com/si_team/archive/2008/09/04/bitlocker-pre-boot-authentication.aspx

*1:WinEnにも同様の問題?が過去にあったようで、6.13で修正されているようです