はじめに
特にWindowsの場合、メモリダンプを取得して調査することにより、ディスクにない情報やディスクからは発見困難な情報を得られる可能性があります。そのためWindowsのフォレンジック調査では、可能な限りメモリダンプを取得することが推奨されます。
メモリダンプ取得ツール
DumpitやFTK Imagerを使うことが多いようです。Dumpitは実行するだけで取得できますので、ここではFTK Imager Liteで取得する手順を紹介します。ちなみにFTK Imager Liteはディスクの保全も可能です。こちらの記事をご参照ください。
FTK Imager Liteは以下からダウンロードできます。必要事項を入力すると、メールでダウンロードするためにリンクが送られてきます。ダウンロードし、Zipを解凍したものをUSBメモリや外付けHDDに保存してください。
https://accessdata.com/product-download/ftk-imager-lite-version-3-1-1
メモリダンプ取得
- FTK Imager Liteの起動
準備ができたのでメモリダンプを取得しましょう。メモリダンプを取得したいマシンにUSBメモリや外付けHDDを挿入し、FTK Imager Liteを実行します。もし起動時にエラーが出る場合は下記の手順を実施してください。無事に起動すると以下のような画面になります。
FTK Imager Liteの実行時にエラーが出る場合
FTK Imager Liteの実行時に環境によっては「このアプリの実行は管理者によってブロックされています。」というエラーが出て起動できないことがあります。その場合は以下の手順で起動してください。
1-1. コマンドプロンプトを管理者権限で起動します。
1-2. 以下のようにUSBメモリまたは外付けHDDのドライブに移動し、FTK Imager Liteを起動します。
1-3. これでFTK Imager Liteが起動します。
2.画面上部にある緑色のメモリのアイコンをクリックします。
カーソルを合わせるとCapture Memoryと表示されるアイコンです。
アイコンをクリックすると以下の画面が出ます。
3.Browseをクリックし、メモリダンプを保存する場所を選択します。必ずUSBメモリや外付けHDDを選択してください。
4.「Capture Memory」をクリックします。メモリのサイズにもよりますが、数分程度で完了すると思います。
以下の画面になったら完了です。
念のためUSBメモリや外付けHDD内にメモリダンプが作成されていることを確認します。メモリのサイズと同じサイズの「memdump.mem」が作成されているはずです。
まとめ
メモリダンプの取得手順について解説しました。参考になれば幸いです。