@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

今日のお題

今日は午後から色々ダンプしてみる予定なのですが、ダンプしたメモリイメージについて以下の点についてどこまで可能か色々テストできればいいなぁと考えています。
(1)サービスがオープンしているファイル/レジストリの状況
プロセスがオープンしているファイル/レジストリは、Volatility Framework の files コマンドで確認できるのですが、サービスがオープンしているファイルなどは確認できない様子ですが、メモリフォレンジック的にはこの辺りの情報が得られると嬉しい気がします。例えば TrueCrypt が使っている暗号化ファイル(ボリュームファイル)を特定するのにつかったりするケースを想定しています。
そういえば、Volatility の追加モジュールとして、パスフレーズを検索するプラグインとかもあるので、ちょっと試してみようかなぁ。コマンドライン文字列の抽出ってのも役立ちそうです。
(2)データのリカバリ
メモリダンプからデータをリカバリする方法は、Memory dump Analysis Vol 2 の P375 DATA RECOVERY で少し解説されていますが、具体的な手順とかをもう少し突っ込んで知りたいところです。
(3)検索
メモリイメージの検索方法について、注意すべき点や、メモリイメージの中で対象を絞って効率よく検索する方法

参考

Volatility Plugins for TrueCrypt passphrases, suspicious processes
http://jessekornblum.livejournal.com/246616.html

Memory Collection and Analysis Tools
http://windowsir.blogspot.com/2009/01/memory-collection-and-analysis-tools.html

If broken it is, fix it you should
http://blogs.msdn.com/tess/default.aspx