Upgrade to Pro — share decks privately, control downloads, hide ads and more …

【補足資料】メモリフォレンジック

Avatar for Tadashi KAWARAGI Tadashi KAWARAGI
December 09, 2017
Technology
0
230

 【補足資料】メモリフォレンジック

12/9セミナーの補足資料です

Avatar for Tadashi KAWARAGI

Tadashi KAWARAGI

December 09, 2017
Tweet

More Decks by Tadashi KAWARAGI

See All by Tadashi KAWARAGI
SUIDとスティッキービットの動作確認
Avatar for Tadashi KAWARAGI ragi
0
100
【補足資料】デジタルフォレンジック基礎
Avatar for Tadashi KAWARAGI ragi
0
120
いいやつ!systemd
Avatar for Tadashi KAWARAGI ragi
0
140

Other Decks in Technology

See All in Technology
プロダクトのコードから見るGoによるデザインパターンの実践 #go_night_talk
Avatar for 弁護士ドットコム bengo4com
1
2.6k
Introduction to Sansan Meishi Maker Development Engineer
Avatar for Sansan, Inc. sansan33
PRO
0
310
Oracle Base Database Service 技術詳細
Avatar for oracle4engineer oracle4engineer
PRO
12
81k
FinOps について (ちょっと) 本気出して考えてみた
Avatar for skmkzyk skmkzyk
0
120
dbtとBigQuery MLで実現する リクルートの営業支援基盤のモデル開発と保守運用
Avatar for Recruit recruitengineers
PRO
3
120
技育祭2025【秋】 企業ピッチ/登壇資料(高橋 悟生)
Avatar for Hacobu hacobu
PRO
0
110
20251014_Pythonを実務で徹底的に使いこなした話
Avatar for 森田 一平 ippei0923
0
210
Railsの話をしよう
Avatar for Yasuo Honda yahonda
0
160
LLMプロダクトの信頼性を上げるには?LLM Observabilityによる、対話型音声AIアプリケーションの安定運用
Avatar for 株式会社IVRy(社員登壇資料) ivry_presentationmaterials
0
460
Digitization部 紹介資料
Avatar for Sansan, Inc. sansan33
PRO
1
5.6k
フレームワークを意識させないワークショップづくり
Avatar for Keigo Suda keigosuda
0
210
それでも私が品質保証プロセスを作り続ける理由 #テストラジオ / Why I still continue to create QA process
Avatar for ぱいん pineapplecandy
0
130

Featured

See All Featured
The MySQL Ecosystem @ GitHub 2015
Avatar for Sam Lambert samlambert
251
13k
Helping Users Find Their Own Way: Creating Modern Search Experiences
Avatar for Dan Newman danielanewman
30
2.9k
Principles of Awesome APIs and How to Build Them.
Avatar for Keavy McMinn keavy
127
17k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
Avatar for Stéphanie Walter stephaniewalter
285
14k
Making the Leap to Tech Lead
Avatar for Ryan Cromwell cromwellryan
135
9.6k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
37
2.6k
Bash Introduction
Avatar for André Augusto Costa Santos 62gerente
615
210k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
Avatar for Rebecca Miller-Webster rmw
35
3.2k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
Avatar for Addy Osmani addyosmani
9
910
How to train your dragon (web standard)
Avatar for Monica Dinculescu notwaldorf
97
6.3k
Learning to Love Humans: Emotional Interface Design
Avatar for Aarron Walter aarron
274
41k
Unsuck your backbone
Avatar for Amy Palamountain ammeep
671
58k

Transcript

  1. 【補足資料】メモリフォレンジック

  2. メモリフォレンジックについて • ライブフォレンジックの一種 • メモリにしか保存されていない情報を解析で きる – プロセスの状態 – ネットワーク通信の状態

    など © Tadashi KAWARAGI 2017

  3. プロセスについて • OSは「プロセス」という単位で、プログラムの実行を管 理 • 各プロセスにPID(プロセスID)という識別情報をつけて 管理 • Windows上であれば、tasklistコマンドで、実行中のプ ロセスを確認できる

    • 各プロセスは、基本別のプロセスから派生して、実行 される – 派生元のプロセスを親プロセスという – 各プロセスに親プロセスの情報がPPIDという形で登録さ れている • マルウェアなどの不審なプログラムもプロセスとして動 作している © Tadashi KAWARAGI 2017

  4. volatility framework • メモリフォレンジックを行うためのツール – The Volatility Foundation - Open

    Source Memory Forensics http://www.volatilityfoundation.org/ • 各OSのメモリデータを解析するためのプロ ファイルデータも提供 • python版(vol.py)のほか、self-executable版 (volatility-~.exe)も提供。 – python版の場合はプロファイルデータなどを別途 ダウンロードし、所定の場所に配置して利用。 © Tadashi KAWARAGI 2017

  5. volatility framework • コマンド構文 – vola~.exe –f mem.img imageinfo •

    -f: メモリイメージを指定 • imageinfo: イメージのバージョン(OSの種類)等を解析。 – vola~.exe –f mem.img –profile=Win7SP1x86 pslist • --profile: プロファイル名を指定。imageinfoで解析した プロファイル名を指定。 • pslist: プラグインコマンドを指定。この部分に指定した プラグインにより、解析を行う。pslistはプロセスの一覧 を表示 © Tadashi KAWARAGI 2017

  6. 主なプラグインコマンド プラグインコマンド 意味 pstree プロセスの情報をツリー上に表示 svclist サービスの情報を表示 hivelist レジストリの情報を表示 ※出力されたVirtual

    memory addressを指定し、 printkeyプラグインにより、キー内容を表示できる printkey レジストリキーの内容を表示 netscan ネットワーク接続の状態を表示 mutantscan ミューテックスの状態を表示 iehistory IEの履歴を表示 userassist UserAssist情報を表示 cmdscan コマンド入力の履歴を表示 dlllist 実行ファイルとDLLのパス名を表示 procdump 指定したプロセスの実行ファイルをダンプ hashdump 認証に利用されたハッシュ情報を表示 © Tadashi KAWARAGI 2017

  7. プラグインについてのリファレンス • 公式リファレンス https://downloads.volatilityfoundation.org/rel eases/2.4/CheatSheet_v2.4.pdf • Volatility: Plugins - Champlain

    College © Tadashi KAWARAGI 2017

  8. services.exeとsvchost.exe • svchost.exe - Wikipedia https://ja.wikipedia.org/wiki/Svchost.exe • サービスホスト(svchost.exe)とは - Windowsの核

    心 http://windows- core.com/windows_feature/feature-23.php • svchost/servicesについてのメモ - くじらとたぬき http://kmdnet.hatenablog.com/entry/2017/09/3 0/195652 – tasklist /svcで参照可 – volatilityだとsvcscanプラグイン © Tadashi KAWARAGI 2017

  9. aguse.jp • aguse.jp: ウェブ調査 https://www.aguse.jp/ • ホストのIPアドレスを指 定し、所在地などを調 査することができる。 ©

    Tadashi KAWARAGI 2017