@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

CrowdResponseを試してみる(2)

フォレンジック

SANS Forensics Blogで紹介されている CrowdResponse を少しずつ見ていきたいと思います。

マニュアルでは 11ページからサブツールの @PSlist の説明が始まっています。実行中プロセスに関する詳細なメタデータやハッシュ値などを提供してくれるという機能のようです。

オプションはディレクトリリストと似ています、-c Verify digital signature of process executable と実行中プロセスのデジタル署名をチェックする事もできるようですし、-d Obtain process command line などのオプションがあります。

@PSlist のオプションで興味を引かれたのは、-t Check for process thread injection オプションです、スレッドのインジェクションをチェックするという事のようですが、どの様に使えば効果的なのかは検証が必要ですね。

 

設定ファイルでは下記の定義を行い、@dirlist でメタを取得した notepad.exe を実行した状態で情報を取得してみました。

@pslist -c -j -h -m -d -t -e -r

特定の名前を持つプロセスだけダンプするといった事は出来ないのでしょうかね?除外用のオプションはあるようですが。かなり待たされる事になりますね。

実際の出力結果はモジュール情報も含まれてかなり長いので、プロセス情報に関する結果だけ抜粋してみます。

 

<process>

<pid>6476</pid>

<name>"C:\temp\sample\notepad.exe"</name>

<size>179712</size>

<companyname>"Microsoft Corporation"</companyname>

<filedescription>"&#12513;&#12514;&#24115;"</filedescription>

<fileversion>"6.1.7600.16385 (win7_rtm.090713-1255)"</fileversion>

<internalname>"Notepad"</internalname>

<legalcopyright>"&#169; Microsoft Corporation. All rights reserved."</legalcopyright>

<originalfilename>"NOTEPAD.EXE.MUI"</originalfilename>

<productname>"Microsoft&#174; Windows&#174; Operating System"</productname>

<productversion>"6.1.7600.16385"</productversion>

<created>"2009-07-14T01:14:27Z"</created>

<accessed>"2009-07-14T01:14:27Z"</accessed>

<modified>"2009-07-14T01:14:27Z"</modified>

<cmdline>"&quot;C:\temp\sample\notepad.exe&quot; "</cmdline>

<cert_exists>"FALSE"</cert_exists>

<cert_verified>"FALSE"</cert_verified>

<cert_result>"TRUST_E_NOSIGNATURE"</cert_result>

<cert_comment>"The file is not signed"</cert_comment>

<cert_signer>""</cert_signer>

<hash md5="d378bffb70923139d6a4f546864aa61c" sha256="c4232ddd4d37b9c0884bd44d8476578c54d7f98d58945728e425736a6a07e102" />

<threadinjected status="0" />