@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

揮発性情報取得に伴うリスク

ITProの「今週のSecurity Check(第176回)」という記事を読んで、揮発性の順序やコマンドが人によって違うもんだなぁと改めて思ったのでちょっとメモしてみたり。

Windowsマシンへの不正アクセスを発見」---そのとき,どうする?
Windowsにおける証拠保全の具体的手順
http://itpro.nikkeibp.co.jp/article/COLUMN/20060831/246898/?ST=security

揮発性情報と、揮発性情報の取得を行う際の順序については、上記記事でも紹介されている RFC 3227 証拠収集とアーカイビングのためのガイドライン、に記述されています。
揮発性の高い情報、つまり時間の経過と共に消えていく情報に対して、情報が消える前に情報を取得しなければいけないので、その順序は消えやすいものから優先してということですやね。

本題とはずれるんですけど、揮発性情報を取得しよう!という記事では大抵「ログオン」の手順が抜けており、ログオンに伴う危険性の説明なしにいきなりコマンドの紹介に入っていることが(自分の書いたものを含めて)多いですよね(笑)
しかし、個人的にはログオンのトラップに引っかかった経験があるので、自動実行を仕掛けることが容易な Windows の場合は特に慎重な対応が必要になると感じています。
まぁ、システム管理者自らがトラップに引っかかって運用中システムを破壊したり、より被害を拡大させたり、本来必要だった証拠データを消したとしても、「しょうがない」って開き直ってしまえばそれまでかもしれませんがB-)
今時に構築されたシステムであれば、揮発性情報の取得をわざわざログオンして実施しなくても、ログでわかるようになっているのではないかとも思いますが...