インシデント・レスポンスの演習とかやると、rootkit などを発見したことで「終了」といった雰囲気になる場合がありますけど、実際には被害範囲の特定や、被害発生時期の確認とかのほうが復旧上は重要なわけですやね。そこで必要となるデータが得られるのであれば揮発性情報も大切なわけですけど、どうもそういった向きで、揮発性情報の積極的な必要性について思いつかない今日この頃。
例えば、情報流出があったかどうか確認するとかの場合、発覚や発見時点の netstat 情報だけあっても無意味なわけですよ、過去に出てないかも知りたいわけですから。そうするとやはり TCP/IP の通信履歴なりは残ってないと追跡のしようが無いわけですよね。で、TCP/IP の通信履歴だけだと、どのプロセスがその通信していたのかわからないので、過去に遡って該当ポートを利用していたプロセスが判明しないといけないわけなので、プロセス実行のログと利用したポート番号の組み合わせがログに残ってないと困るわけですやね。でもって、該当ファイルがアクセスされた痕跡があるかとかは Atime から確認するわけですが、これがウイルススキャンなどで潰されているとさっぱりわからないので、必要なファイルへのアクセスログは残っていたほうがいいわけですやね。と、ログならたくさん事後追跡での必要性について思いつくわけですが、揮発性情報って、復旧や被害範囲・時期の特定を行う上ではどんなの必要なんすかねぇ。