Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
【補足資料】メモリフォレンジック
Search
Tadashi KAWARAGI
December 09, 2017
Technology
0
230
【補足資料】メモリフォレンジック
12/9セミナーの補足資料です
Tadashi KAWARAGI
December 09, 2017
Tweet
Share
More Decks by Tadashi KAWARAGI
See All by Tadashi KAWARAGI
SUIDとスティッキービットの動作確認
ragi
0
110
【補足資料】デジタルフォレンジック基礎
ragi
0
120
いいやつ!systemd
ragi
0
140
Other Decks in Technology
See All in Technology
モダンUIでフルサーバーレスなAIエージェントをAmplifyとCDKでサクッとデプロイしよう
minorun365
4
230
外部キー制約の知っておいて欲しいこと - RDBMSを正しく使うために必要なこと / FOREIGN KEY Night
soudai
PRO
12
5.6k
Agent Skils
dip_tech
PRO
0
140
今こそ学びたいKubernetesネットワーク ~CNIが繋ぐNWとプラットフォームの「フラッと」な対話
logica0419
5
540
GitHub Issue Templates + Coding Agentで簡単みんなでIaC/Easy IaC for Everyone with GitHub Issue Templates + Coding Agent
aeonpeople
1
260
usermode linux without MMU - fosdem2026 kernel devroom
thehajime
0
240
こんなところでも(地味に)活躍するImage Modeさんを知ってるかい?- Image Mode for OpenShift -
tsukaman
1
170
今日から始める Amazon Bedrock AgentCore
har1101
4
420
StrandsとNeptuneを使ってナレッジグラフを構築する
yakumo
1
130
Tebiki Engineering Team Deck
tebiki
0
24k
生成AIと余白 〜開発スピードが向上した今、何に向き合う?〜
kakehashi
PRO
0
170
私たち準委任PdEは2つのプロダクトに挑戦する ~ソフトウェア、開発支援という”二重”のプロダクトエンジニアリングの実践~ / 20260212 Naoki Takahashi
shift_evolve
PRO
2
210
Featured
See All Featured
What the history of the web can teach us about the future of AI
inesmontani
PRO
1
440
AI in Enterprises - Java and Open Source to the Rescue
ivargrimstad
0
1.1k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
55
3.3k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
666
130k
The AI Search Optimization Roadmap by Aleyda Solis
aleyda
1
5.2k
The Power of CSS Pseudo Elements
geoffreycrofte
80
6.2k
Being A Developer After 40
akosma
91
590k
Fireside Chat
paigeccino
41
3.8k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
31
2.7k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
333
22k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
162
16k
AI: The stuff that nobody shows you
jnunemaker
PRO
2
280
Transcript
【補足資料】メモリフォレンジック
メモリフォレンジックについて • ライブフォレンジックの一種 • メモリにしか保存されていない情報を解析で きる – プロセスの状態 – ネットワーク通信の状態
など © Tadashi KAWARAGI 2017
プロセスについて • OSは「プロセス」という単位で、プログラムの実行を管 理 • 各プロセスにPID(プロセスID)という識別情報をつけて 管理 • Windows上であれば、tasklistコマンドで、実行中のプ ロセスを確認できる
• 各プロセスは、基本別のプロセスから派生して、実行 される – 派生元のプロセスを親プロセスという – 各プロセスに親プロセスの情報がPPIDという形で登録さ れている • マルウェアなどの不審なプログラムもプロセスとして動 作している © Tadashi KAWARAGI 2017
volatility framework • メモリフォレンジックを行うためのツール – The Volatility Foundation - Open
Source Memory Forensics http://www.volatilityfoundation.org/ • 各OSのメモリデータを解析するためのプロ ファイルデータも提供 • python版(vol.py)のほか、self-executable版 (volatility-~.exe)も提供。 – python版の場合はプロファイルデータなどを別途 ダウンロードし、所定の場所に配置して利用。 © Tadashi KAWARAGI 2017
volatility framework • コマンド構文 – vola~.exe –f mem.img imageinfo •
-f: メモリイメージを指定 • imageinfo: イメージのバージョン(OSの種類)等を解析。 – vola~.exe –f mem.img –profile=Win7SP1x86 pslist • --profile: プロファイル名を指定。imageinfoで解析した プロファイル名を指定。 • pslist: プラグインコマンドを指定。この部分に指定した プラグインにより、解析を行う。pslistはプロセスの一覧 を表示 © Tadashi KAWARAGI 2017
主なプラグインコマンド プラグインコマンド 意味 pstree プロセスの情報をツリー上に表示 svclist サービスの情報を表示 hivelist レジストリの情報を表示 ※出力されたVirtual
memory addressを指定し、 printkeyプラグインにより、キー内容を表示できる printkey レジストリキーの内容を表示 netscan ネットワーク接続の状態を表示 mutantscan ミューテックスの状態を表示 iehistory IEの履歴を表示 userassist UserAssist情報を表示 cmdscan コマンド入力の履歴を表示 dlllist 実行ファイルとDLLのパス名を表示 procdump 指定したプロセスの実行ファイルをダンプ hashdump 認証に利用されたハッシュ情報を表示 © Tadashi KAWARAGI 2017
プラグインについてのリファレンス • 公式リファレンス https://downloads.volatilityfoundation.org/rel eases/2.4/CheatSheet_v2.4.pdf • Volatility: Plugins - Champlain
College © Tadashi KAWARAGI 2017
services.exeとsvchost.exe • svchost.exe - Wikipedia https://ja.wikipedia.org/wiki/Svchost.exe • サービスホスト(svchost.exe)とは - Windowsの核
心 http://windows- core.com/windows_feature/feature-23.php • svchost/servicesについてのメモ - くじらとたぬき http://kmdnet.hatenablog.com/entry/2017/09/3 0/195652 – tasklist /svcで参照可 – volatilityだとsvcscanプラグイン © Tadashi KAWARAGI 2017
aguse.jp • aguse.jp: ウェブ調査 https://www.aguse.jp/ • ホストのIPアドレスを指 定し、所在地などを調 査することができる。 ©
Tadashi KAWARAGI 2017
ragi
minorun365
soudai
dip_tech
logica0419
aeonpeople
thehajime
tsukaman
har1101
yakumo
tebiki
kakehashi
shift_evolve
inesmontani
ivargrimstad
tammyeverts
pedronauck
aleyda
geoffreycrofte
akosma
paigeccino
marktimemedia
caitiem20
sstephenson
jnunemaker
