Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
【補足資料】メモリフォレンジック
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
Tadashi KAWARAGI
December 09, 2017
Technology
0
230
【補足資料】メモリフォレンジック
12/9セミナーの補足資料です
Tadashi KAWARAGI
December 09, 2017
Tweet
Share
More Decks by Tadashi KAWARAGI
See All by Tadashi KAWARAGI
SUIDとスティッキービットの動作確認
ragi
0
110
【補足資料】デジタルフォレンジック基礎
ragi
0
120
いいやつ!systemd
ragi
0
140
Other Decks in Technology
See All in Technology
1,000 にも届く AWS Organizations 組織のポリシー運用をちゃんとしたい、という話
kazzpapa3
0
190
フルカイテン株式会社 エンジニア向け採用資料
fullkaiten
0
10k
AIが実装する時代、人間は仕様と検証を設計する
gotalab555
1
600
22nd ACRi Webinar - NTT Kawahara-san's slide
nao_sumikawa
0
110
GitHub Issue Templates + Coding Agentで簡単みんなでIaC/Easy IaC for Everyone with GitHub Issue Templates + Coding Agent
aeonpeople
1
260
ブロックテーマ、WordPress でウェブサイトをつくるということ / 2026.02.07 Gifu WordPress Meetup
torounit
0
210
Agent Skils
dip_tech
PRO
0
140
Claude_CodeでSEOを最適化する_AI_Ops_Community_Vol.2__マーケティングx_AIはここまで進化した.pdf
riku_423
2
610
Tebiki Engineering Team Deck
tebiki
0
24k
SREが向き合う大規模リアーキテクチャ 〜信頼性とアジリティの両立〜
zepprix
0
480
OWASP Top 10:2025 リリースと 少しの日本語化にまつわる裏話
okdt
PRO
3
850
22nd ACRi Webinar - ChipTip Technology Eric-san's slide
nao_sumikawa
0
100
Featured
See All Featured
Marketing to machines
jonoalderson
1
4.7k
The B2B funnel & how to create a winning content strategy
katarinadahlin
PRO
1
280
YesSQL, Process and Tooling at Scale
rocio
174
15k
The Curse of the Amulet
leimatthew05
1
8.7k
Code Review Best Practice
trishagee
74
20k
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
21
1.4k
First, design no harm
axbom
PRO
2
1.1k
Intergalactic Javascript Robots from Outer Space
tanoku
273
27k
Practical Orchestrator
shlominoach
191
11k
Digital Ethics as a Driver of Design Innovation
axbom
PRO
1
190
職位にかかわらず全員がリーダーシップを発揮するチーム作り / Building a team where everyone can demonstrate leadership regardless of position
madoxten
58
50k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
122
21k
Transcript
【補足資料】メモリフォレンジック
メモリフォレンジックについて • ライブフォレンジックの一種 • メモリにしか保存されていない情報を解析で きる – プロセスの状態 – ネットワーク通信の状態
など © Tadashi KAWARAGI 2017
プロセスについて • OSは「プロセス」という単位で、プログラムの実行を管 理 • 各プロセスにPID(プロセスID)という識別情報をつけて 管理 • Windows上であれば、tasklistコマンドで、実行中のプ ロセスを確認できる
• 各プロセスは、基本別のプロセスから派生して、実行 される – 派生元のプロセスを親プロセスという – 各プロセスに親プロセスの情報がPPIDという形で登録さ れている • マルウェアなどの不審なプログラムもプロセスとして動 作している © Tadashi KAWARAGI 2017
volatility framework • メモリフォレンジックを行うためのツール – The Volatility Foundation - Open
Source Memory Forensics http://www.volatilityfoundation.org/ • 各OSのメモリデータを解析するためのプロ ファイルデータも提供 • python版(vol.py)のほか、self-executable版 (volatility-~.exe)も提供。 – python版の場合はプロファイルデータなどを別途 ダウンロードし、所定の場所に配置して利用。 © Tadashi KAWARAGI 2017
volatility framework • コマンド構文 – vola~.exe –f mem.img imageinfo •
-f: メモリイメージを指定 • imageinfo: イメージのバージョン(OSの種類)等を解析。 – vola~.exe –f mem.img –profile=Win7SP1x86 pslist • --profile: プロファイル名を指定。imageinfoで解析した プロファイル名を指定。 • pslist: プラグインコマンドを指定。この部分に指定した プラグインにより、解析を行う。pslistはプロセスの一覧 を表示 © Tadashi KAWARAGI 2017
主なプラグインコマンド プラグインコマンド 意味 pstree プロセスの情報をツリー上に表示 svclist サービスの情報を表示 hivelist レジストリの情報を表示 ※出力されたVirtual
memory addressを指定し、 printkeyプラグインにより、キー内容を表示できる printkey レジストリキーの内容を表示 netscan ネットワーク接続の状態を表示 mutantscan ミューテックスの状態を表示 iehistory IEの履歴を表示 userassist UserAssist情報を表示 cmdscan コマンド入力の履歴を表示 dlllist 実行ファイルとDLLのパス名を表示 procdump 指定したプロセスの実行ファイルをダンプ hashdump 認証に利用されたハッシュ情報を表示 © Tadashi KAWARAGI 2017
プラグインについてのリファレンス • 公式リファレンス https://downloads.volatilityfoundation.org/rel eases/2.4/CheatSheet_v2.4.pdf • Volatility: Plugins - Champlain
College © Tadashi KAWARAGI 2017
services.exeとsvchost.exe • svchost.exe - Wikipedia https://ja.wikipedia.org/wiki/Svchost.exe • サービスホスト(svchost.exe)とは - Windowsの核
心 http://windows- core.com/windows_feature/feature-23.php • svchost/servicesについてのメモ - くじらとたぬき http://kmdnet.hatenablog.com/entry/2017/09/3 0/195652 – tasklist /svcで参照可 – volatilityだとsvcscanプラグイン © Tadashi KAWARAGI 2017
aguse.jp • aguse.jp: ウェブ調査 https://www.aguse.jp/ • ホストのIPアドレスを指 定し、所在地などを調 査することができる。 ©
Tadashi KAWARAGI 2017
ragi
kazzpapa3
fullkaiten
gotalab555
nao_sumikawa
aeonpeople
torounit
dip_tech
riku_423
tebiki
zepprix
okdt
jonoalderson
katarinadahlin
rocio
leimatthew05
trishagee
sergeychernyshev
axbom
tanoku
shlominoach
madoxten
panda_program
