EnCase EnScript "Memory Forensic Toolkit" Version 1.4

メモリのraw image をparseするEnScriptを新たにWindows 7にも対応させた。

「MemoryForensicToolkit_Ver1.4.zip」をダウンロード

＜仕様＞

• 対応アーキテクチャ： Intel x86
• 対応ＯＳ：　Windows XP SP2, SP3 / Windows 7 Ultimate
• 対応イメージ：　Raw image/WinEn image/VMware snapshot(vmem)
• ライセンス形態：　GPL 2.0

＜モジュール＞

• PsList　全プロセスリストを表示
• KMList 全カーネルモジュールリストを表示
• ConnList 全TCPコネクション情報を表示
• VadSearch　プロセスのVAD内の文字列を検索
• DllList プロセスがImportしたDLLを表示
• OpenFiles プロセスがオープンしているファイルのリストを表示
• ProcDump プロセスをexe形式で抽出
• PsScan  プロセス情報（EPROCESS）を列挙
• ConnScan  ＴＣＰコネクション情報（TCPT_OBJECT）を列挙
• KMScan  カーネルモジュール情報（LDR_MODULE）を列挙
• Vtypes/Win32/x86 上記スクリプトが使用するライブラリ

Windows 7で苦労した点。

• _KPCR (Kernel Processor Control Region)の仮想アドレスが固定ではなくなっているので、検索する必要がある。どうもVista以降でそうなっているらしい。
• VADの定義や_OBJECT_HEADERのメンバの定義がまったくの別物になっている

Windows 7は手元のマシンで確認しただけなので、他のマシンでは動かない可能性あり。あと、全てのモジュールが対応したわけではない。Conn*系については、ＴＣＰのコネクションオブジェクト(TCPT)をWindows 7のイメージでは発見できなかったので実装していない。WinDbgで調査しても見つからなかったので、まったく別のデータ構造になっていると推測される。対応するにはフルスクラッチで実装しかなさそう。

動かなかったらフィードバックしてください。

＃ってか日本人からのコメントやフィードバックが全くないのは、EnCaseが使われてないのか？メモリイメージの解析が流行ってないのか？両方ですかね・・

P.S.

とか言ってたら隣の席の人からフィードバックもらいました。あざーす。