アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

メモリフォレンジック方面

@cci_forensics な人の Blog で CrashDump Analyzer 0.95 が公開されています。EnScript なので EnCase ないと動きませんけども、クラッシュダンプファイルのフォレンジック的な解析が必要な方向けのスクリプトですね。

CrashDump Analyzer 0.95
クラッシュダンプの解析ツールをアップデート。32bit OSに対応。
http://cci.cocolog-nifty.com/blog/2010/08/crashdump-analy.html#more

32bit OS に対応ってことですが、いままで対応してなかったっけ?、Windows 7 でも ProcDump が使えるようになっているので、メモリイメージ内からプロセスの実行ファイルを取りだして、ウイルス解析にかけたりできますね。
あと、SANS Forensics の Blog で、FTK のメモリ解析機能と共にちょっと紹介されていると本人が発言しているので、そちらの記事も要確認ですかね。

Review: Access Data Forensic Toolkit (FTK) Version 3 — Part 2
http://blogs.sans.org/computer-forensics/2010/08/10/review-access-data-forensic-toolkit-ftk-version-3-part-2/

リンク先がえらく古いバージョンをポイントしている気がするんですけど、そこはいいのだろうか?本人降臨で、コメント欄で最新版はこっちね!!とか書いておいてはどうかと思ったり。