Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
【補足資料】メモリフォレンジック
Search
Tadashi KAWARAGI
December 09, 2017
Technology
0
220
【補足資料】メモリフォレンジック
12/9セミナーの補足資料です
Tadashi KAWARAGI
December 09, 2017
Tweet
Share
More Decks by Tadashi KAWARAGI
See All by Tadashi KAWARAGI
SUIDとスティッキービットの動作確認
ragi
0
100
【補足資料】デジタルフォレンジック基礎
ragi
0
120
いいやつ!systemd
ragi
0
130
Other Decks in Technology
See All in Technology
オーティファイ会社紹介資料 / Autify Company Deck
autifyhq
10
130k
United™️ Airlines®️ Customer®️ USA Contact Numbers: Complete 2025 Support Guide
flyunitedguide
0
250
american airlines®️ USA Contact Numbers: Complete 2025 Support Guide
supportflight
1
110
AWS認定を取る中で感じたこと
siromi
1
200
いつの間にか入れ替わってる!?新しいAWS Security Hubとは?
cmusudakeisuke
0
140
Lufthansa ®️ USA Contact Numbers: Complete 2025 Support Guide
lufthanahelpsupport
0
220
IPA&AWSダブル全冠が明かす、人生を変えた勉強法のすべて
iwamot
PRO
2
180
SRE不在の開発チームが障害対応と 向き合った100日間 / 100 days dealing with issues without SREs
shin1988
1
270
LLM時代の検索
shibuiwilliam
2
390
LangChain Interrupt & LangChain Ambassadors meetingレポート
os1ma
2
320
OpenTelemetryセマンティック規約の恩恵とMackerel APMにおける活用例 / SRE NEXT 2025
mackerelio
2
390
How Do I Contact HP Printer Support? [Full 2025 Guide for U.S. Businesses]
harrry1211
0
120
Featured
See All Featured
jQuery: Nuts, Bolts and Bling
dougneiner
63
7.8k
Code Review Best Practice
trishagee
69
19k
Building a Modern Day E-commerce SEO Strategy
aleyda
42
7.4k
The Cult of Friendly URLs
andyhume
79
6.5k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
15
1.5k
The World Runs on Bad Software
bkeepers
PRO
69
11k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
248
1.3M
Gamification - CAS2011
davidbonilla
81
5.4k
BBQ
matthewcrist
89
9.7k
Product Roadmaps are Hard
iamctodd
PRO
54
11k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
10
960
ReactJS: Keep Simple. Everything can be a component!
pedronauck
667
120k
Transcript
【補足資料】メモリフォレンジック
メモリフォレンジックについて • ライブフォレンジックの一種 • メモリにしか保存されていない情報を解析で きる – プロセスの状態 – ネットワーク通信の状態
など © Tadashi KAWARAGI 2017
プロセスについて • OSは「プロセス」という単位で、プログラムの実行を管 理 • 各プロセスにPID(プロセスID)という識別情報をつけて 管理 • Windows上であれば、tasklistコマンドで、実行中のプ ロセスを確認できる
• 各プロセスは、基本別のプロセスから派生して、実行 される – 派生元のプロセスを親プロセスという – 各プロセスに親プロセスの情報がPPIDという形で登録さ れている • マルウェアなどの不審なプログラムもプロセスとして動 作している © Tadashi KAWARAGI 2017
volatility framework • メモリフォレンジックを行うためのツール – The Volatility Foundation - Open
Source Memory Forensics http://www.volatilityfoundation.org/ • 各OSのメモリデータを解析するためのプロ ファイルデータも提供 • python版(vol.py)のほか、self-executable版 (volatility-~.exe)も提供。 – python版の場合はプロファイルデータなどを別途 ダウンロードし、所定の場所に配置して利用。 © Tadashi KAWARAGI 2017
volatility framework • コマンド構文 – vola~.exe –f mem.img imageinfo •
-f: メモリイメージを指定 • imageinfo: イメージのバージョン(OSの種類)等を解析。 – vola~.exe –f mem.img –profile=Win7SP1x86 pslist • --profile: プロファイル名を指定。imageinfoで解析した プロファイル名を指定。 • pslist: プラグインコマンドを指定。この部分に指定した プラグインにより、解析を行う。pslistはプロセスの一覧 を表示 © Tadashi KAWARAGI 2017
主なプラグインコマンド プラグインコマンド 意味 pstree プロセスの情報をツリー上に表示 svclist サービスの情報を表示 hivelist レジストリの情報を表示 ※出力されたVirtual
memory addressを指定し、 printkeyプラグインにより、キー内容を表示できる printkey レジストリキーの内容を表示 netscan ネットワーク接続の状態を表示 mutantscan ミューテックスの状態を表示 iehistory IEの履歴を表示 userassist UserAssist情報を表示 cmdscan コマンド入力の履歴を表示 dlllist 実行ファイルとDLLのパス名を表示 procdump 指定したプロセスの実行ファイルをダンプ hashdump 認証に利用されたハッシュ情報を表示 © Tadashi KAWARAGI 2017
プラグインについてのリファレンス • 公式リファレンス https://downloads.volatilityfoundation.org/rel eases/2.4/CheatSheet_v2.4.pdf • Volatility: Plugins - Champlain
College © Tadashi KAWARAGI 2017
services.exeとsvchost.exe • svchost.exe - Wikipedia https://ja.wikipedia.org/wiki/Svchost.exe • サービスホスト(svchost.exe)とは - Windowsの核
心 http://windows- core.com/windows_feature/feature-23.php • svchost/servicesについてのメモ - くじらとたぬき http://kmdnet.hatenablog.com/entry/2017/09/3 0/195652 – tasklist /svcで参照可 – volatilityだとsvcscanプラグイン © Tadashi KAWARAGI 2017
aguse.jp • aguse.jp: ウェブ調査 https://www.aguse.jp/ • ホストのIPアドレスを指 定し、所在地などを調 査することができる。 ©
Tadashi KAWARAGI 2017
ragi
autifyhq
flyunitedguide
supportflight
siromi
cmusudakeisuke
lufthanahelpsupport
iwamot
shin1988
shibuiwilliam
os1ma
mackerelio
harrry1211
dougneiner
trishagee
aleyda
andyhume
reverentgeek
bkeepers
sugarenia
davidbonilla
matthewcrist
iamctodd
tammyeverts
pedronauck
