2009-06-14
■Win32ddバージョンアップ
Windows用のメモリダンプツールwin32ddがバージョンアップされていますね。
取れてないページがひとつあったんですかね。
Update: Win32dd 1.2.2.20090608 (fixes + improvements)
http://www.msuiche.net/2009/06/08/update-win32dd-12220090608-fixes-improvements/
あと、
Challenge of Windows physical memory acquisition and exploitation
http://www.msuiche.net/2009/06/12/challenge-of-windows-physical-memory-acquisition-and-exploitation/
http://msuiche.net/con/shakacon2009/NFI-Shakacon-win32dd0.3.pdf
こちらのエントリで公開されているPDF資料も興味深いです(まぁ私にはなんのこっちゃわからない点も多いのですが)。
PowerShellは使ったことないんですが、なかなか面白そうですね。
■せみなー
隣の席の人が講師なので、私はもっぱら聴講の予定なのですが、HBgaryの無料セミナーが開催されます。
実践セミナー:HBgary Responderを用いたメモリフォレンジックス
HBgaryもVer1.4になっていたり、Digital DNA やら追加機能が出てきたりしている様子ですが詳しく追いかけることができてないので楽しみです。
今年京都で開催される第21回 FIRST Annual Conference 京都のセッションでも、「Windows Memory Forensics with Volatility」というセッションがあるようですね。
■Buffalo RAMディスクユーティリティ
RAMディスクの作成ツールが Buffalo から無料ダウンロード可能ということなんですが、このツールでは『32bit版Windowsでは認識できない領域をラムディスクとして利用できる機能”限界突破”を搭載し』ということで、Gavotte Ramdisk と同様の機能が搭載されているようですね。
ラムディスク(RAMDISK)ユーティリティー 無料ダウンロード開始
Buffalo 製品のメモリでないと駄目*1ということのようですが、OS管理外のメモリ領域にRAMを作成している場合、そこは win32dd などではダンプすることができないんですよねぇ。*2
