メモリフォレンジック
メモリフォレンジックとは、揮発性のデータを解析する技術です。インシデントレスポンスにおいては、不正プログラムの通信先やメモリ上に
展開されたデータを解析することが重要となります。
メモリのみで動作する不正プログラムなどを調査する場合にも非常に
有効な手段となります。
また、メモリと比較してサイズの大きいのディスクイメージをフォレンジックするのに比べて作業量が少なく済むため解析の優先度を決めるトリアージなどに有効な技術です。
メモリフォレンジックスの利点と欠点
• 利点
–ディスクイメージを確認しなくても攻撃の痕跡を見ることができます –インジェクションされたコードやRootkit を見つけることができます –暗号キーや平文パスワードが残っている可能性があります• 注意点
–メモリイメージは、あくまでもある時点での状態となります –メモリ取得ツールによる証拠への影響を考慮する必要がありますメモリ解析の流れ
• メモリダンプを取得します • OSを特定後にメモリフォレンジックのフレームワークにて解析します • その際にプロセス、ネットワーク通信、キーワード検索などの確認をします メモリダンプの取得 OSの特定 メモリフォレンジック フレームワークを利用した解析
ログの確認方法
Event Log Explorerの場合
1,elex_setup.exeを押下する
2,ツールが開くのでFileのタブを押下する
3、Open Log File>Standard を押す
4。調査するログのパスを指定する
5,システムのログを指定する
6、ログが表示されるので、左上にあるフィルターを押す
7.Ivent ID欄に調べたいイベントIDを入れOKを押す
8.フィルタリングされた数字にイベントログが表示される
FTK_Manegerの場合
1、FTK_Manegerをダウンロードして展開する
2、FTK Imager.exeを押下してツールを開く
3,File>Capture Memoryを押下する
4、取得先のパスを指定して、Capture Memoryを押下する
Volatilityの場合
1、vlolatility,exeがあるパスで「cmd」と打つ
2,コマンドプロンプトが開く
3「v」を押しTabキーを押すと候補のツールが出てくるので「-h」を入力する
‐hはヘルプ確認コマンド
4、-hを決して「 -f 」 を入れる
5,-fの後に読み取りたいファイルのドラック&ペーストをする
6,「imageinfo」と入力する
7,推奨されるファイル名が表示される
8,「imageinfo」を消し「--profile=調べたいファイル pstree」と入力する
プロファイルの一覧が出てきてプロセス関係が確認できる
