10章メモリフォレンジックを利用したマルウェアハンティング

　これまでの章では、表層解析、動的解析、静的解析を利用し、マルウェア解析に必要な概念やツール、手法を説明してきました。この章では、メモリフォレンジック（またはメモリ解析）と呼ばれる別の手法を紹介します。

　メモリフォレンジック（メモリ解析）は、コンピュータの物理メモリ（RAM）からフォレンジックアーティファクト（Forensic Artifact）を検出し、抽出する調査手法です。コンピュータメモリには、システム実行時（ランタイム）の貴重な情報が残存しています。メモリの取得と分析によって、システムで実行中のアプリケーション、実行中アプリケーションがアクセスしている（ファイル、レジストリなどの）オブジェクト、アクティブなネットワーク接続、読み込まれたモジュール、読み込まれたカーネルドライバ、その他の情報など、フォレンジック分析に必要な情報が取得できます。このため、メモリフォレンジックはインシデントレスポンスとマルウェア解析に応用されています。

　ほとんどの場合、インシデント対応中はマルウェアへアクセスできず、感染疑義があるシステムのメモリイメージしか取得できません。たとえば、セキュリティ製品からシステムにおける悪意のある振る舞いについてアラートを受け取ったとします。その場合、感染疑義のあるシステムのメモリイメージを取得し、感染を確認するためメモリフォレンジックを実行し、悪意のあるアーティファクトを見つけることができます。

　メモリフォレンジックはインシデント対応への応用に加え、（マルウェアが手に入る場合）マルウェア解析の一部として応用し、感染後のマルウェアの挙動について追加情報を得ることもできます。たとえば、マルウェアがある場合、表層解析、動的解析、静的解析の実行に加え、隔離された環境でサンプルを実行し、感染したコンピュータのメモリを取得し、メモリイメージを調べることで、感染後のマルウェアの挙動について理解を深めることができます。 ...