6章Windowsにおける揮発性メモリの情報源

　これまでの章では、フォレンジック調査での情報源としてのメモリダンプの重要性について解説しました。様々な解析ツール、ユーザの挙動を解析する技術、悪意のあるソフトウェアの痕跡の検知手法について学びました。しかし、Windows OSに関するメモリフォレンジックの話題はまだあります。

　本書の冒頭で、メインメモリ以外にも、似たような情報を含むメモリに関する様々な情報源があると解説しました。何かしらの理由で完全なメモリダンプを作成できなかったり、その解析に失敗した場合は、ハイバネーションファイル、ページファイル、スワップファイル、クラッシュダンプなどの他の情報源が使用できます。この章では、揮発性情報の収集源とその解析手法について解説します。

　この章の内容：

• ハイバネーションファイルの調査
• ページファイルとスワップファイルの調査
• クラッシュダンプの解析

6.1　ハイバネーションファイルの調査

　最初に解説する代替となる情報源は、ハイバネーションファイル（Hibernation File）です。なぜハイバネーションファイルから解説するかというと、ハイバネーションファイルはRAM（Random Access Memory）を圧縮して複製したファイルだからです。このファイルはOSの設定で有効化されている場合、ハイバネーション状態に移行した際に作成されます。ハイバネーション状態とは、OSの電力を温存するための状態であり、電源が切れる前にメモリの内容をHDDやSSDなどのストレージにhiberfil.sysというファイルとして保存する機能です。休止状態とは異なり、ハイバネーション状態では電力の供給が完全に止まります。

　ハイバネーションファイルは、コンピュータがハイバネーション状態に移行する時点でのRAMの複製であるため、端末の利用者が操作していたファイルが、ハイバネーションファイルの取得時点でディスク上に存在しないファイルであっても記憶されます。よって、このファイルはフォレンジック調査では重要な役割を持ちますが、どのように入手すれば良いのでしょうか？ ...