メモリダンプから様々な情報を抽出するためのオープンソースのツール： volatility

概要

TechEd North America 2014 (= Microsoft のカンファレンス) のセッションで紹介されていた、メモリダンプから様々な情報を収集するためのオープンソースのツールvolatility を紹介します。

内容

volatility を利用すると、メモリダンプ(= クラッシュダンプメモリ、ハイバネーションファイル、仮想マシンのスナップショット、ローフォーマット) から様々な情報を収集することができます。

volatility のダウンロード
volatility は、Python版とexe版があります。
本例では、exe版を紹介します。(Python版のインストール方法は、こちら(英語)で紹介されています。)

exe版のダウンロードは、volatility のサイトの”volatility-<バージョン>standalone.exe” からできます。

volatility の基本的な使い方
1. 管理者権限のコマンドプロンプトを開きます。

2. 以下のように実行します。

volatility-2.3.1.standalone.exe –f <メモリダンプのパス> --profile=<プロファイル> <コマンド>

例えば、プロセスの一覧を表示するコマンド”pslist” を実行するには、以下を実行します。

volatility-2.3.1.standalone.exe –f ./MEMORY.DMP --profile=Win7SP1x86 pslist

<プロファイル>は、”Win7SP1x86” といったもので、OS情報を指定します。
プロファイル一覧は、”volatility-2.3.1.standalone.exe –info” で確認できます。

＊2014/5/31 現在、プロファイルにWindows 8、8.1/Windows Server 2008、2008 R2 はありませんが、将来対応予定となっています。

volatility のコマンド
volatility にはたくさんのコマンドが用意されております。
以下、特徴的なコマンドを紹介します。

cmdscan
cmd.exe で実行されたコマンドを表示します。
以下の例では、”ping localhost –n 1” と”ipconfig” が実行されたことがわかります。

consoles
cmd.exe で実行されたコマンドの出力を表示します。
日本語は文字化けしてしまいました。