アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

メモリフォレンジック関連

解説文が日本語ではなくて、英語なのが個人的にはとても残念(笑)だったりはしますが、反響が主に海外なのでまぁそうなりますかねぇ。*1

EnCase EnScripts for Memory Forensics
http://cci.cocolog-nifty.com/blog/2010/02/encase-enscri-1.html
EnCase Enscripts + Volatility = Takahiro Haruyama's Memory Forensics Toolkit
http://volatility.tumblr.com/post/387511690/encase-enscripts-volatility-takahiro-haruyamas

Microsoft CrashDump Analyzer Version 0.42も同じく更新されているみたいです。「this tool has the capability detecting dead or hidden processes/drivers.」の死んでるプロセスとかに関する情報は、メモリ上のアーティファクトとか探す上では重要になりそうな項目ですね。で、ついでに作者による講演が3月11日にあります。

題目:「Windowsメモリイメージのフォレンジック調査」
http://www.digitalforensic.jp/expanel/diarypro/diary.cgi?no=210&continue=on

*1:更新されたことをSANSのTwitter経由で知る今日この頃