法医学分析のためにメモリの内容を作成/ダンプする方法は?
私は情報セキュリティアナリストとして働いており、最近、インシデントレスポンス+コンピュータフォレンジック関連のトピックを調べるように命じられました。まず、Windows 7 64ビットSP1を実行しているPCで実験しています。 Volatilityという名前のライブメモリ分析ツールをダウンロードして、最初のコマンドを試しました。
python vol.py pslist -f /path/to/memory.img --profile=Win7SP1x64=
分析用のイメージまたはファイルがないというエラーが表示され、ライブO/Sメモリをファイルにダンプする方法がわからないことに気付きました。
Encase、helix、MDD、hBGARYなどのツールをGoogleで検索しましたが、この分野に関する私の現在の知識では、これらのツールは非常に複雑であることがわかりました。さらに、これらのツールは無料ではありません。
どのツールを使用するかについての推奨事項を探しているわけではないことに注意してください。プロセスと、フォレンジックのためにメモリダンプを取得する方法を理解したいと思います。
フォレンジックメモリダンプツールをググる場合、最初に思いつくのは無料のMicrosoft SysInternalsツール LiveKd です。 Helixも無料で、機能も充実しています。 Helix ISOをダウンロードして、利用可能なツールをよく確認してください。
複雑さに関しては、これらのすべてのツールが幅広い機能を提供します。必要な関数を使用するだけなので、複雑すぎると混同しないでください。これはボラティリティにも当てはまります。
Microsoftには、これに関するデバッグのナレッジベース記事があり、目的の結果を効果的に提供します。
Windows Server 2008およびWindows Server 2008 R2でカーネルまたは完全なメモリダンプファイルを生成する方法
フォレンジックWiki は優れたリストを維持しています。一部のツールはx86でのみ機能するため、x64もサポートされていることを確認してください(FTK Imagerなど)。