Computer Forensics: Results of Live Response Inquiry vs. Memory Image Analysis
http://www.cert.org/archive/pdf/08tn017.pdf

単純だがなかなか興味深いレポート。ある一つのシナリオにおいて、ライブ・レスポンスとメモリイメージ解析の結果にどのような違いがでるかを調査している。結論としては、メモリイメージ解析の有効性を主張しつつ、状況に応じて使い分けることを奨めている。ちなみに利用しているツールは Sysinternals, Volatility, PTFinderの 3つ。

レポートの中では、ライブ・レスポンスと比較したメモリイメージ解析の利点として次の 4つを挙げている。

• システムへの影響を最小限に抑えることができる
• rootkitなどによる証拠隠蔽の影響を受けにくい
• 同じ解析を繰り返し実行することができる
• あとから別の解析手法を追加することができる

逆に大きな欠点としては、メモリの構造が OSの種類やバージョンによって異なるため、解析ツールの対応が現状では不十分であるという点を指摘している。

このネタ、今度のセミナーでも使えそう。