アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

EnCase EnScript "Memory Forensic Toolkit" その1

メモリ内のレジストリデータかなぁなどと考えていたら、後ろの席の人が新たな EnScript を公開していました

EnCase EnScript "Memory Forensic Toolkit" その1
http://cci.cocolog-nifty.com/blog/2009/10/memory-forensic.html#more

スクリプト調査ツールのページからもダウンロードが可能です。
メモリダンプからレジストリキーとか抽出するツールをどこかで見た気がするんですが、Volatility Framework 関係でそんな機能があったような?んーでもプロセスがオープンしているレジストリと言えるか不明なのでどういう扱いになるのか微妙な気もしますねぇ。