November 2023
Beginner to intermediate
352 pages
5h 8m
Japanese
Content preview from 実践 メモリフォレンジック ―揮発性メモリの効果的なフォレンジック分析
Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
O’Reilly covers everything we've got, with content to help us build a world-class technology community, upgrade the capabilities and competencies of our teams, and improve overall team performance as well as their engagement.I wanted to learn C and C++, but it didn't click for me until I picked up an O'Reilly book. When I went on the O’Reilly platform, I was astonished to find all the books there, plus live events and sandboxes so you could play around with the technology.I’ve been on the O’Reilly platform for more than eight years. I use a couple of learning platforms, but I'm on O'Reilly more than anybody else. When you're there, you start learning. I'm never disappointed.I'm always learning. So when I got on to O'Reilly, I was like a kid in a candy store. There are playlists. There are answers. There's on-demand training. It's worth its weight in gold, in terms of what it allows me to do.
5章Windowsでのマルウェアの検知と解析
メモリダンプの解析により、ユーザの挙動が解析できるだけではなく、被害者の端末に侵入した攻撃者の挙動も解析できます。この場合は、不正なプロセス、ネットワーク接続、コードインジェクションなどをはじめとする、マルウェアや攻撃者による、悪意のある挙動の追跡が求められます。最近のマルウェアはディスク上にできるだけ痕跡を残さない傾向があり、攻撃者はPowerShellやバッチスクリプトを使ってステルス性を保とうとするため、メモリ解析はフォレンジック調査の重要な要素になってきています。
この章では、Windowsレジストリ、イベントログ、ファイルシステムなどのメモリ内のアーティファクトを使って、ネットワーク接続およびアクティブプロセス内の悪意のある活動の痕跡を検索する方法について解説します。
この章の内容:
- 悪性プロセスの探索
- コマンドライン引数の解析
- ネットワーク接続の調査
- ペイロードが注入されたプロセスの調査
- 永続化の痕跡の探索
- タイムラインの作成
5.1 悪性プロセスの探索
メモリダンプの作成時に稼働しているプロセスを解析して、ユーザの挙動を特定する方法はすでに解説しました。攻撃者の痕跡の探索にも同様の手法が適用できますが、ここでは、悪意のある行為の特定に役立つ指標の検出に焦点を当てます。WebブラウザやMicrosoft Officeなどのソフトウェアは、ユーザの直近の挙動を追跡するというよりも、初期アクセスの痕跡を残す潜在的な情報源です。また、クラウドストレージに関連するプロセスは、データ流出への悪用という観点で調査します。調査の主な目的は、悪意のある挙動の痕跡や異常な動作(見慣れない名前や引数が設定されていたり、普通ではない挙動をするプロセスなど)の検出です。まずは、プロセスの名前という分かりやすい指標から解説しましょう。 ...
Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.
Read now
Unlock full access
More than 5,000 organizations count on O’Reilly
O’Reilly covers everything we've got, with content to help us build a world-class technology community, upgrade the capabilities and competencies of our teams, and improve overall team performance as well as their engagement.Julian F.
I wanted to learn C and C++, but it didn't click for me until I picked up an O'Reilly book. When I went on the O’Reilly platform, I was astonished to find all the books there, plus live events and sandboxes so you could play around with the technology.Addison B.
I’ve been on the O’Reilly platform for more than eight years. I use a couple of learning platforms, but I'm on O'Reilly more than anybody else. When you're there, you start learning. I'm never disappointed.Amir M.
I'm always learning. So when I got on to O'Reilly, I was like a kid in a candy store. There are playlists. There are answers. There's on-demand training. It's worth its weight in gold, in terms of what it allows me to do.