MDD 1.3リリース
Forensic Focusのニュースで知ったのですが、mdd 1.3 がリリースされているようですね。*1最近フォレンジック方面では何かと話題の?メモリイメージをダンプするツールですが、個人的には WinEn より mdd のほうが気にいってます :-)
ManTech Memory DD Version 1.3 for Forensic Analysis of Memory Now Available
http://www.forensicfocus.com/index.php?name=News&file=article&sid=964
このバージョンから?なのかもしれませんが、64bit 環境にも対応したということみたいですね。
Forensic Focus だと URL 貼ってない気がしますが、以下の URL がメインページつーかですね。
ManTech Memory DD
http://www.mantech.com/msma/MDD.asp
https://sourceforge.net/projects/mdd/
*1:本当はもう少し前にリリースされていた気がするけどよく確認してなかった
mddを64bit環境で実行するもハードウェアが腐っていた
mdd 1.3を Windows XP x64(メモリ 4G) な環境で実行してみました。実行は問題なくできるようですね....あ!落ちた。っていうか、OS ではなく PC が落ちた。画面真っ暗・・・orz
落ちたけど、ファイルは4GB分できてますねぇー、でも中身見てないのではたして大丈夫なのか謎です。
よく見ると、コマンドプロンプトのタイトルバー部分に進捗状況がパーセンテージで表示されるんですね。
さて、再起動して再度トライ。97%くらい取得したところでやはりまた画面が真っ暗に...うーん、ハードウェアが悪いかもしれないなぁ。
検証のため、64bit用の WinEn64 で試したら、こちらも同じく画面が真っ黒に。いやいや、これはハードウェアな可能性が高い気がしますねぇ。メモリのテストにちょうどいい?(違)
さて、メモリなのかわかんない*1けど、とりあえずこの PC は修理だな・・・
ダンプしたメモリイメージの扱い
とりあえず取るのは簡単なわけですが、とったあとが問題になってくるわけですね。で、その辺りの専用ツールについては、ukky3 さんが早速 HBgary Responder をレポートされてますので、そちらも参照。
Reverse Engineering Rootkits, その1
http://d.hatena.ne.jp/ukky3/20080818/1219038951
で、さらにツールの表示する内容の意味については....