4章Windowsでのユーザの挙動の解析

　フォレンジック調査では、何が起こったのかを把握するために、ユーザの挙動（User Activity）の解析が重要となる場合が多々あります。本書の冒頭では、解析対象の端末が事件の被害者のものであるか、それとも容疑者のものであるかという話題に触れました。解析対象の端末が被害者のものである場合は、端末がどのようにしてマルウェアに感染したのか、そして攻撃者が被害者の端末を遠隔からどう操作したのかが、ユーザの挙動の解析により分かります。一方で、解析対象の端末が容疑者のものである場合は、どのように攻撃の準備をしたのか、どのような攻撃を実行したのか、違法な挙動に関する証拠が存在するのかなどを中心に調査します。犯罪捜査の場合は単にサイバー関連だけではなく、児童ポルノ関連や違法ドラッグ売買のような場合もあります。その場合は、内密のやりとりやブラウザの履歴、怪しいデータを隠した暗号化コンテナとその暗号鍵の存在などを調査します。

　この章では、調査対象の端末の利用者の挙動を解析する技術を紹介します。調査対象の端末で起動されていたプロセス情報のみではなく、メモリに読み込まれたWindowsレジストリやファイルシステムの解析も調査に求められます。

　この章の内容：

• 実行されたアプリケーションの解析
• 閲覧された文書ファイルの探索
• Webブラウザの履歴の調査
• コミュニケーションアプリケーションの調査
• パスワードの復元
• 暗号コンテナの解析
• レジストリの調査

4.1　前提知識と準備

　続く3つの章で紹介するツールを使ってWindowsでのメモリフォレンジックを実施するために、特にこれといった前提知識は必要ありません。Windows OSがインストールされた実機または仮想マシンがあれば問題ありません。 ...