CEIC 2008 で教えてもらった HBgary の Responder ですが、ukky3 さんところの情報によると、BlackHat でトレーニングがあったみたいですね。
Black Hat & DEFCON @Las Vegas
http://d.hatena.ne.jp/ukky3/20080809/1218262677
帰国されてからのレポート楽しみにしてま〜す(^^)/
で一足先に? CCI さんのところでも Responder が話題に出てますね。
HBGary Responder
http://cci.cocolog-nifty.com/blog/2008/08/hbgary_responde.html
従来はメモリイメージをダンプしても、解析するのにかなり面倒なことになっていた気がするのですが、Responder を使うともう少し簡単になりますね。単なるメモリダンプからどんなプロセスが実行されていたのか、どこと通信していたのか、どのファイルがオープンされていたのか、などを GUI ベースで確認できるのは便利です。
とはいえ、例えばこの怪しげなプロセスが使っているメモリ空間にある日本語な文字列を調べたい!とか、このデータを抽出したい!とか、フォレンジック調査で使いそうなシーンについては、今後の対応に期待することになるのかなぁと個人的には感じてます。
Rootkit とか見つけたとして、HDD イメージとの対応というか連携を取りつつ、侵害状況などを調査していく必要があるので、そいう連携機能も期待したいところです。*1
そもそもメモリダンプを取る手順を詰めておかないといけなかったりもしますが。。。