SANS Blogの解説ではファイルの取りだしについては言及されていませんが、APT.IMGからファイルを取り出して調査する方法について確認したいと思います。

まず、RedLineでのファイルの取り出しについて確認してみます。RedLineのデフォルトでは、オプション設定でユーザーのプロファイルフォルダ配下（例）C:\Users\forensics\AppData\Local\Temp\AgentAcquisitions）に出力するように設定されています。

階層が深いので、ケース用のフォルダを作成してそちらに出力するように設定を変更した方が簡単かもしれません。フォルダ設定を変更すると、うまくZIPに固める事が出来ずにファイルが残ったりするようですので、デフォルトのまま使う方がよいのかもしれません。

取り出しは、該当プロセスを右クリックしメニューから Acquire this Process Address Space を実行します。AgentAcquisitionsの保存先として指定されているフォルダ配下にパスワード付きのZIPファイル形式で出力されます。同時に出力されるReadmeテキストファイルに書かれていますがパスワードはSafeになっています。

ZIPファイルを展開してみると、幾つもファイルが出力されていることを確認できます。

あれ？なんか期待していた出力結果と違いませんか？

ファイル名に 0bPEZcUpTGteSZMMMm3bAR など意味が分からない文字列が付与されていて、どれが何なのか識別できません。これは私の見方が悪いのか？、実は知らないだけで何か裏技でもあるのかと思ってGoogleで検索してみたところ、MandiantのBlogでこの機能についての紹介がありました。

Redline 1.1 Released | M-unition

このBlog記事でFigure 8: Acquired contents of "lsass.exe" process memory spaceとして紹介されている画像を確認すると、もっと分かりやすいファイル名で出力されるようなのですが、なぜ手元ではそうならないのでしょうか。。。

いずれにしても、この結果だと調べていくのが大変そうですので、RedLineでのプロセス取り出しではなく、Volatility を使う事を考えたいと思います。

RedLine ではプロセスだけでなくドライバのAcquisitionも出来るようになっています、Driver Modulesで取り出したいドライバ名で右クリックメニューです。

これも試してみたのですが、やはり期待した出力結果のファイル名にはならない様ですが、手元の環境依存の問題かもしれません。

皆さんのお手元ではいかがでしょうか？