アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

Redline 1.11.1 がリリースされているのでテスト

先日、Mandiant Redline のバージョン 1.11.1 がリリースされたというアナウンスメールが届きましたので、早速気になっていた点を試してみました。

https://www.mandiant.com/resources/download/redline

 

SANS の APT.IMG を最新版の1.11.1 で解析した結果がどうなるか?という事ですが、これまでの作業で気になっていたのは以下の項目です。

  • TCP/IPの接続情報がVolatilityと差異がある点に変化があるか?
  • Acquire this Process Address Spaceの取り出し機能は変化があるか?
  • Device Treeから詳細を表示した時のStringsタブでのエラーに変化があるか?

先に結論から書いてしまいますと、私の手元ではいずれも変化がないように見えます。

 

まず、TCP/IPの接続情報について確認してみたいと思いますので、Processes→Portsを表示してみます。前回の内容と比較してみても、特に新しい発見はなく、connections との結果には差異があるようです。これは実装方法に違いがあるという事なんですかねぇ。

 

次にAcquire this Process Address Spaceを実行してみます。前回は期待したファイル名にならずに取り出しが行われたので、ファイル名がプロセス名と識別できるような形での出力を期待しているわけですが、結果としては前回と同じでした。

 

最後のDevice Tree→Show Detail→StrignsでSQliteのエラーになり、Strignsが表示されてない事象ですが、これもエラーになるので特に差異?はありませんでした。

 

そんなわけでして、1.11.1で気になった点を確認してみたわけですが、1.11.1 は基本的に Windows 8 と 2012 サポートが主という事になるようです。これはこれでとてもありがたい事ですね!!ありがとうございます。