EnCase EnScript "Memory Forensic Toolkit" その1
メモリ内のレジストリデータかなぁなどと考えていたら、後ろの席の人が新たな EnScript を公開していました
EnCase EnScript "Memory Forensic Toolkit" その1
http://cci.cocolog-nifty.com/blog/2009/10/memory-forensic.html#more
スクリプトは調査ツールのページからもダウンロードが可能です。
メモリダンプからレジストリキーとか抽出するツールをどこかで見た気がするんですが、Volatility Framework 関係でそんな機能があったような?んーでもプロセスがオープンしているレジストリと言えるか不明なのでどういう扱いになるのか微妙な気もしますねぇ。