Upgrade to Pro — share decks privately, control downloads, hide ads and more …

【補足資料】メモリフォレンジック

Avatar for Tadashi KAWARAGI Tadashi KAWARAGI
December 09, 2017
Technology
0
230

 【補足資料】メモリフォレンジック

12/9セミナーの補足資料です

Avatar for Tadashi KAWARAGI

Tadashi KAWARAGI

December 09, 2017
Tweet

More Decks by Tadashi KAWARAGI

See All by Tadashi KAWARAGI
SUIDとスティッキービットの動作確認
Avatar for Tadashi KAWARAGI ragi
0
100
【補足資料】デジタルフォレンジック基礎
Avatar for Tadashi KAWARAGI ragi
0
120
いいやつ!systemd
Avatar for Tadashi KAWARAGI ragi
0
140

Other Decks in Technology

See All in Technology
オブザーバビリティが広げる AIOps の世界 / The World of AIOps Expanded by Observability
Avatar for Kento Kimura aoto
PRO
0
380
「全員プロダクトマネージャー」を実現する、Cursorによる仕様検討の自動運転
Avatar for Michiru Kato applism118
21
11k
AIのグローバルトレンド2025 #scrummikawa / global ai trend
Avatar for kyonmm kyonmm
PRO
1
280
TS-S205_昨年対比2倍以上の機能追加を実現するデータ基盤プロジェクトでのAI活用について
Avatar for K.Mitsuhashi kaz3284
1
160
roppongirb_20250911
Avatar for Kuniaki IGARASHI igaiga
1
240
下手な強制、ダメ!絶対! 「ガードレール」を「檻」にさせない"ガバナンス"の取り方とは?
Avatar for Masataka Tsukamoto tsukaman
2
450
💡Ruby 川辺で灯すPicoRubyからの光
Avatar for bash0C7 bash0c7
0
120
いま注目のAIエージェントを作ってみよう
Avatar for Marimo supermarimobros
0
270
現場で効くClaude Code ─ 最新動向と企業導入
Avatar for TakaakiKakei takaakikakei
1
250
Webアプリケーションにオブザーバビリティを実装するRust入門ガイド
Avatar for nwiizo nwiizo
7
830
なぜスクラムはこうなったのか?歴史が教えてくれたこと/Shall we explore the roots of Scrum
Avatar for Genki Sano sanogemaru
5
1.6k
Terraformで構築する セルフサービス型データプラットフォーム / terraform-self-service-data-platform
Avatar for pei0804 pei0804
1
180

Featured

See All Featured
Being A Developer After 40
Avatar for Adrian Kosmaczewski akosma
90
590k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
Avatar for Sam Stephenson sstephenson
162
15k
YesSQL, Process and Tooling at Scale
Avatar for Rocio Delgado rocio
173
14k
Thoughts on Productivity
Avatar for Jon Yablonski jonyablonski
70
4.8k
A Tale of Four Properties
Avatar for Chris Coyier chriscoyier
160
23k
Raft: Consensus for Rubyists
Avatar for Patrick Van Stee vanstee
140
7.1k
Documentation Writing (for coders)
Avatar for Carmen Chung carmenintech
74
5k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
Avatar for Stéphanie Walter stephaniewalter
285
13k
Gamification - CAS2011
Avatar for David Bonilla davidbonilla
81
5.4k
Sharpening the Axe: The Primacy of Toolmaking
Avatar for Bryan Cantrill bcantrill
44
2.5k
Git: the NoSQL Database
Avatar for Brandon Keepers bkeepers
PRO
431
66k
Building Adaptive Systems
Avatar for Chris Keathley keathley
43
2.7k

Transcript

  1. 【補足資料】メモリフォレンジック

  2. メモリフォレンジックについて • ライブフォレンジックの一種 • メモリにしか保存されていない情報を解析で きる – プロセスの状態 – ネットワーク通信の状態

    など © Tadashi KAWARAGI 2017

  3. プロセスについて • OSは「プロセス」という単位で、プログラムの実行を管 理 • 各プロセスにPID(プロセスID)という識別情報をつけて 管理 • Windows上であれば、tasklistコマンドで、実行中のプ ロセスを確認できる

    • 各プロセスは、基本別のプロセスから派生して、実行 される – 派生元のプロセスを親プロセスという – 各プロセスに親プロセスの情報がPPIDという形で登録さ れている • マルウェアなどの不審なプログラムもプロセスとして動 作している © Tadashi KAWARAGI 2017

  4. volatility framework • メモリフォレンジックを行うためのツール – The Volatility Foundation - Open

    Source Memory Forensics http://www.volatilityfoundation.org/ • 各OSのメモリデータを解析するためのプロ ファイルデータも提供 • python版(vol.py)のほか、self-executable版 (volatility-~.exe)も提供。 – python版の場合はプロファイルデータなどを別途 ダウンロードし、所定の場所に配置して利用。 © Tadashi KAWARAGI 2017

  5. volatility framework • コマンド構文 – vola~.exe –f mem.img imageinfo •

    -f: メモリイメージを指定 • imageinfo: イメージのバージョン(OSの種類)等を解析。 – vola~.exe –f mem.img –profile=Win7SP1x86 pslist • --profile: プロファイル名を指定。imageinfoで解析した プロファイル名を指定。 • pslist: プラグインコマンドを指定。この部分に指定した プラグインにより、解析を行う。pslistはプロセスの一覧 を表示 © Tadashi KAWARAGI 2017

  6. 主なプラグインコマンド プラグインコマンド 意味 pstree プロセスの情報をツリー上に表示 svclist サービスの情報を表示 hivelist レジストリの情報を表示 ※出力されたVirtual

    memory addressを指定し、 printkeyプラグインにより、キー内容を表示できる printkey レジストリキーの内容を表示 netscan ネットワーク接続の状態を表示 mutantscan ミューテックスの状態を表示 iehistory IEの履歴を表示 userassist UserAssist情報を表示 cmdscan コマンド入力の履歴を表示 dlllist 実行ファイルとDLLのパス名を表示 procdump 指定したプロセスの実行ファイルをダンプ hashdump 認証に利用されたハッシュ情報を表示 © Tadashi KAWARAGI 2017

  7. プラグインについてのリファレンス • 公式リファレンス https://downloads.volatilityfoundation.org/rel eases/2.4/CheatSheet_v2.4.pdf • Volatility: Plugins - Champlain

    College © Tadashi KAWARAGI 2017

  8. services.exeとsvchost.exe • svchost.exe - Wikipedia https://ja.wikipedia.org/wiki/Svchost.exe • サービスホスト(svchost.exe)とは - Windowsの核

    心 http://windows- core.com/windows_feature/feature-23.php • svchost/servicesについてのメモ - くじらとたぬき http://kmdnet.hatenablog.com/entry/2017/09/3 0/195652 – tasklist /svcで参照可 – volatilityだとsvcscanプラグイン © Tadashi KAWARAGI 2017

  9. aguse.jp • aguse.jp: ウェブ調査 https://www.aguse.jp/ • ホストのIPアドレスを指 定し、所在地などを調 査することができる。 ©

    Tadashi KAWARAGI 2017