Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
【補足資料】メモリフォレンジック
Search
Sponsored
·
Ship Features Fearlessly
Turn features on and off without deploys. Used by thousands of Ruby developers.
→
Tadashi KAWARAGI
December 09, 2017
Technology
0
230
【補足資料】メモリフォレンジック
12/9セミナーの補足資料です
Tadashi KAWARAGI
December 09, 2017
Tweet
Share
More Decks by Tadashi KAWARAGI
See All by Tadashi KAWARAGI
SUIDとスティッキービットの動作確認
ragi
0
110
【補足資料】デジタルフォレンジック基礎
ragi
0
120
いいやつ!systemd
ragi
0
140
Other Decks in Technology
See All in Technology
めちゃくちゃ開発するQAエンジニアになって感じたメリットとこれからの課題感
ryuhei0000yamamoto
0
110
非情報系研究者へ送る Transformer入門
rishiyama
13
8.3k
Claude Code 2026年 最新アップデート
oikon48
13
10k
品質を経営にどう語るか #jassttokyo / Communicating the Strategic Value of Quality to Executive Leadership
kyonmm
PRO
2
420
[E2]CCoEはAI指揮官へ。Bedrock×MCPで構築するコスト・セキュリティ自律運用基盤
taku1418
0
190
フロントエンド刷新 4年間の軌跡
yotahada3
0
480
楽しく学ぼう!ネットワーク入門
shotashiratori
4
3.4k
ガバメントクラウドにおけるAWSの長期継続割引について
takeda_h
2
5.2k
Scrumは歪む — 組織設計の原理原則
dashi
0
200
SRE NEXT 2026 CfP レビュアーが語る聞きたくなるプロポーザルとは?
yutakawasaki0911
1
410
VLAモデル構築のための AIロボット向け模倣学習キット
kmatsuiugo
0
240
1GB RAMのラズピッピで何ができるのか試してみよう / 20260319-rpijam-1gb-rpi-whats-possible
akkiesoft
0
210
Featured
See All Featured
Jess Joyce - The Pitfalls of Following Frameworks
techseoconnect
PRO
1
110
Digital Ethics as a Driver of Design Innovation
axbom
PRO
1
220
AI Search: Implications for SEO and How to Move Forward - #ShenzhenSEOConference
aleyda
1
1.2k
Conquering PDFs: document understanding beyond plain text
inesmontani
PRO
4
2.5k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
249
1.3M
Skip the Path - Find Your Career Trail
mkilby
1
82
How to optimise 3,500 product descriptions for ecommerce in one day using ChatGPT
katarinadahlin
PRO
1
3.5k
No one is an island. Learnings from fostering a developers community.
thoeni
21
3.6k
More Than Pixels: Becoming A User Experience Designer
marktimemedia
3
350
Leveraging Curiosity to Care for An Aging Population
cassininazir
1
190
Lightning talk: Run Django tests with GitHub Actions
sabderemane
0
150
Visualization
eitanlees
150
17k
Transcript
【補足資料】メモリフォレンジック
メモリフォレンジックについて • ライブフォレンジックの一種 • メモリにしか保存されていない情報を解析で きる – プロセスの状態 – ネットワーク通信の状態
など © Tadashi KAWARAGI 2017
プロセスについて • OSは「プロセス」という単位で、プログラムの実行を管 理 • 各プロセスにPID(プロセスID)という識別情報をつけて 管理 • Windows上であれば、tasklistコマンドで、実行中のプ ロセスを確認できる
• 各プロセスは、基本別のプロセスから派生して、実行 される – 派生元のプロセスを親プロセスという – 各プロセスに親プロセスの情報がPPIDという形で登録さ れている • マルウェアなどの不審なプログラムもプロセスとして動 作している © Tadashi KAWARAGI 2017
volatility framework • メモリフォレンジックを行うためのツール – The Volatility Foundation - Open
Source Memory Forensics http://www.volatilityfoundation.org/ • 各OSのメモリデータを解析するためのプロ ファイルデータも提供 • python版(vol.py)のほか、self-executable版 (volatility-~.exe)も提供。 – python版の場合はプロファイルデータなどを別途 ダウンロードし、所定の場所に配置して利用。 © Tadashi KAWARAGI 2017
volatility framework • コマンド構文 – vola~.exe –f mem.img imageinfo •
-f: メモリイメージを指定 • imageinfo: イメージのバージョン(OSの種類)等を解析。 – vola~.exe –f mem.img –profile=Win7SP1x86 pslist • --profile: プロファイル名を指定。imageinfoで解析した プロファイル名を指定。 • pslist: プラグインコマンドを指定。この部分に指定した プラグインにより、解析を行う。pslistはプロセスの一覧 を表示 © Tadashi KAWARAGI 2017
主なプラグインコマンド プラグインコマンド 意味 pstree プロセスの情報をツリー上に表示 svclist サービスの情報を表示 hivelist レジストリの情報を表示 ※出力されたVirtual
memory addressを指定し、 printkeyプラグインにより、キー内容を表示できる printkey レジストリキーの内容を表示 netscan ネットワーク接続の状態を表示 mutantscan ミューテックスの状態を表示 iehistory IEの履歴を表示 userassist UserAssist情報を表示 cmdscan コマンド入力の履歴を表示 dlllist 実行ファイルとDLLのパス名を表示 procdump 指定したプロセスの実行ファイルをダンプ hashdump 認証に利用されたハッシュ情報を表示 © Tadashi KAWARAGI 2017
プラグインについてのリファレンス • 公式リファレンス https://downloads.volatilityfoundation.org/rel eases/2.4/CheatSheet_v2.4.pdf • Volatility: Plugins - Champlain
College © Tadashi KAWARAGI 2017
services.exeとsvchost.exe • svchost.exe - Wikipedia https://ja.wikipedia.org/wiki/Svchost.exe • サービスホスト(svchost.exe)とは - Windowsの核
心 http://windows- core.com/windows_feature/feature-23.php • svchost/servicesについてのメモ - くじらとたぬき http://kmdnet.hatenablog.com/entry/2017/09/3 0/195652 – tasklist /svcで参照可 – volatilityだとsvcscanプラグイン © Tadashi KAWARAGI 2017
aguse.jp • aguse.jp: ウェブ調査 https://www.aguse.jp/ • ホストのIPアドレスを指 定し、所在地などを調 査することができる。 ©
Tadashi KAWARAGI 2017
ragi
ryuhei0000yamamoto
rishiyama
oikon48
kyonmm
taku1418
yotahada3
shotashiratori
takeda_h
.jpg){kind=avatar}
dashi
yutakawasaki0911
kmatsuiugo
akkiesoft
techseoconnect
axbom
aleyda
inesmontani
sugarenia
mkilby
katarinadahlin
thoeni
marktimemedia
cassininazir
sabderemane
eitanlees
