Upgrade to PRO for Only $50/Year—Limited-Time Offer! 🔥
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
【補足資料】メモリフォレンジック
Search
Tadashi KAWARAGI
December 09, 2017
Technology
0
230
【補足資料】メモリフォレンジック
12/9セミナーの補足資料です
Tadashi KAWARAGI
December 09, 2017
Tweet
Share
More Decks by Tadashi KAWARAGI
See All by Tadashi KAWARAGI
SUIDとスティッキービットの動作確認
ragi
0
110
【補足資料】デジタルフォレンジック基礎
ragi
0
120
いいやつ!systemd
ragi
0
140
Other Decks in Technology
See All in Technology
RAG/Agent開発のアップデートまとめ
taka0709
0
190
多様なデジタルアイデンティティを攻撃からどうやって守るのか / 20251212
ayokura
0
490
Microsoft Agent 365 についてゆっくりじっくり理解する!
skmkzyk
0
380
AWS Security Agentの紹介/introducing-aws-security-agent
tomoki10
0
320
AWS re:Invent 2025~初参加の成果と学び~
kubomasataka
0
130
[デモです] NotebookLM で作ったスライドの例
kongmingstrap
0
160
通勤手当申請チェックエージェント開発のリアル
whisaiyo
2
110
AWS re:Invent 2025で見たGrafana最新機能の紹介
hamadakoji
0
430
文字列の並び順 / Unicode Collation
tmtms
3
610
WordPress は終わったのか ~今のWordPress の制作手法ってなにがあんねん?~ / Is WordPress Over? How We Build with WordPress Today
tbshiki
2
830
MySQLとPostgreSQLのコレーション / Collation of MySQL and PostgreSQL
tmtms
1
1k
JEDAI認定プログラム JEDAI Order 2026 エントリーのご案内 / JEDAI Order 2026 Entry
databricksjapan
0
140
Featured
See All Featured
Bioeconomy Workshop: Dr. Julius Ecuru, Opportunities for a Bioeconomy in West Africa
akademiya2063
PRO
0
25
Claude Code どこまでも/ Claude Code Everywhere
nwiizo
61
47k
職位にかかわらず全員がリーダーシップを発揮するチーム作り / Building a team where everyone can demonstrate leadership regardless of position
madoxten
47
33k
Stop Working from a Prison Cell
hatefulcrawdad
273
21k
Believing is Seeing
oripsolob
0
9
Reflections from 52 weeks, 52 projects
jeffersonlam
355
21k
Statistics for Hackers
jakevdp
799
230k
コードの90%をAIが書く世界で何が待っているのか / What awaits us in a world where 90% of the code is written by AI
rkaga
57
37k
More Than Pixels: Becoming A User Experience Designer
marktimemedia
2
250
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
46
2.6k
Why Our Code Smells
bkeepers
PRO
340
57k
How to Think Like a Performance Engineer
csswizardry
28
2.4k
Transcript
【補足資料】メモリフォレンジック
メモリフォレンジックについて • ライブフォレンジックの一種 • メモリにしか保存されていない情報を解析で きる – プロセスの状態 – ネットワーク通信の状態
など © Tadashi KAWARAGI 2017
プロセスについて • OSは「プロセス」という単位で、プログラムの実行を管 理 • 各プロセスにPID(プロセスID)という識別情報をつけて 管理 • Windows上であれば、tasklistコマンドで、実行中のプ ロセスを確認できる
• 各プロセスは、基本別のプロセスから派生して、実行 される – 派生元のプロセスを親プロセスという – 各プロセスに親プロセスの情報がPPIDという形で登録さ れている • マルウェアなどの不審なプログラムもプロセスとして動 作している © Tadashi KAWARAGI 2017
volatility framework • メモリフォレンジックを行うためのツール – The Volatility Foundation - Open
Source Memory Forensics http://www.volatilityfoundation.org/ • 各OSのメモリデータを解析するためのプロ ファイルデータも提供 • python版(vol.py)のほか、self-executable版 (volatility-~.exe)も提供。 – python版の場合はプロファイルデータなどを別途 ダウンロードし、所定の場所に配置して利用。 © Tadashi KAWARAGI 2017
volatility framework • コマンド構文 – vola~.exe –f mem.img imageinfo •
-f: メモリイメージを指定 • imageinfo: イメージのバージョン(OSの種類)等を解析。 – vola~.exe –f mem.img –profile=Win7SP1x86 pslist • --profile: プロファイル名を指定。imageinfoで解析した プロファイル名を指定。 • pslist: プラグインコマンドを指定。この部分に指定した プラグインにより、解析を行う。pslistはプロセスの一覧 を表示 © Tadashi KAWARAGI 2017
主なプラグインコマンド プラグインコマンド 意味 pstree プロセスの情報をツリー上に表示 svclist サービスの情報を表示 hivelist レジストリの情報を表示 ※出力されたVirtual
memory addressを指定し、 printkeyプラグインにより、キー内容を表示できる printkey レジストリキーの内容を表示 netscan ネットワーク接続の状態を表示 mutantscan ミューテックスの状態を表示 iehistory IEの履歴を表示 userassist UserAssist情報を表示 cmdscan コマンド入力の履歴を表示 dlllist 実行ファイルとDLLのパス名を表示 procdump 指定したプロセスの実行ファイルをダンプ hashdump 認証に利用されたハッシュ情報を表示 © Tadashi KAWARAGI 2017
プラグインについてのリファレンス • 公式リファレンス https://downloads.volatilityfoundation.org/rel eases/2.4/CheatSheet_v2.4.pdf • Volatility: Plugins - Champlain
College © Tadashi KAWARAGI 2017
services.exeとsvchost.exe • svchost.exe - Wikipedia https://ja.wikipedia.org/wiki/Svchost.exe • サービスホスト(svchost.exe)とは - Windowsの核
心 http://windows- core.com/windows_feature/feature-23.php • svchost/servicesについてのメモ - くじらとたぬき http://kmdnet.hatenablog.com/entry/2017/09/3 0/195652 – tasklist /svcで参照可 – volatilityだとsvcscanプラグイン © Tadashi KAWARAGI 2017
aguse.jp • aguse.jp: ウェブ調査 https://www.aguse.jp/ • ホストのIPアドレスを指 定し、所在地などを調 査することができる。 ©
Tadashi KAWARAGI 2017
ragi
taka0709
ayokura
skmkzyk
tomoki10
kubomasataka
kongmingstrap
whisaiyo
hamadakoji
tmtms
tbshiki
databricksjapan
akademiya2063
nwiizo
madoxten
hatefulcrawdad
oripsolob
jeffersonlam
jakevdp
rkaga
marktimemedia
bcantrill
bkeepers
csswizardry
