アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

メモリダンプ内の探索

背後の人がメモリダンプから Gmail のパスワード取り出すなどの実験をしていたのですが、Windows 7 のテストはこれからみたいです(笑)。プロセスリストを確認するのはブックマークからの方が見やすいということはよくわかりました。

Extracting Gmail Password in VAD Tree
http://cci.cocolog-nifty.com/blog/2010/01/extracting-gmai.html#more

メモリダンプファイルに対して直接文字列を検索する方法でも同じことができますが、上記の EnScriot などを使ってプロセスが利用しているメモリ空間を個別に切り出すことで、どのプロセスが保持している情報なのかということを識別できるようになります。メモリダンプといってもかなりのサイズになりますので、調べる範囲を絞っていくという点では実務上は重要な作業になるかと思います。(ノイズを減らす手段を考えないと効率が悪いので)