setodaNote

忘れる用のメモ書き

Volatility

ページファイル(pagefile.sys) の解析

pagefile.sys について pagefile.sys はシーケンシャルでなく 4KB 以下のデータの断片の集合なので、Volatility では解析できず、 Yara や Strings で有用なデータが残されていないかを確かめるのがよいということのよう。 解析例 無関係の文字列も含まれる…

仙台CTF2017のセキュリティ技術勉強会の実習資料を Ubuntu18.04.2 で動かしてみる

仙台CTF推進プロジェクト 仙台CTF推進プロジェクト https://www.sendai-ctf.org/ 情報セキュリティ技術のスキルアップ・イベント 仙台CTF 2017 http://sectanlab.sakura.ne.jp/sendaictf/fyi.html 仙台CTF推進プロジェクト 仙台CTF推進プロジェクトが主催す…

Volatility の netscan で通信したプロセスIDが不明なときの探し方

Volatility でnetscan を使った際に、怪しい接続先が見つかってもプロセスIDが「-1」となってしまっている場合があります。そんなときに通信元プロセスをどう探せばいいのかについて BlackHat Asia 2019 の発表でさらっと紹介されていました。 Investigating…