アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

メモリダンプからtessyを探せ!!

今回の FNG15 では題材ファイルとして以下のメモリダンプファイルを用意してみました。

・Web サイト(twitter.com)で @tessy_jp のつぶやきを閲覧
Gmail でメールを閲覧
Windows Live Mailで POP で Gmail から取得したメールを閲覧

いやぁ並べて書いてみると、UTF-8 ばっかりで全然面白くないんぢゃね?という気がしますね、もう少し考えてネタを用意しておけばよかったですね。
まずは Twitter における @tessy_jp さんのつぶやきを探してみましょうということになったのですが、Twitter の場合は HTML 構文に特徴があるので、結論としては「パターンがあるデータはパターンを検索したほうが早い」ということですね。ただし、Gmail のデータなどについては、前後に特徴のあるパターンがない状態でメールデータが存在しているケースもありえる為、その様なケースでは KaniGrep のようなアプローチが必要になると思われます。