オンサイトセミナー
豊田孝の「IT談話館」 Windowsメモリダンプ解析を依頼する Windowsクラッシュダンプ解析技術




メモリ解析サービス



Windowsメモリフォレンジック/クラッシュダンプ解析

 Windows 10の登場とともに、Windowsシステムコード自体がインターネット越しに随時更新される時代に入りました。更新にはユーザー空間とカーネル空間の変更を伴いますが、いろいろな事情と理由から、カーネル空間へ加えられる変更の技術的な詳細は公開されていないのが実状です。社内外のユーザーに「高度、かつ、安全」なサービスやサポートを提供する上では、ユーザー空間とカーネル空間へ加えられる変更点を調査・把握する技術を習得しておく必要があろうかと思います。

 本「IT談話館」は、WinDbgを単なるデバッガーではなく、新旧のWindowsシステムを構成するユーザー空間とカーネル空間を徹底解析するメモリフォレンジックツールと位置付けています。このツールは、Microsoft社内の上級エンジニアーや世界の第一線で活動する内部解析者(参照)の必須ツールとなっていることもあり、習得する価値はきわめて高い!、と判断できます。WinDbgに内蔵されている高度な「内部解析機能」を応用活用しますと、次のような今日的な問題を解決することができます。

Windowsシステム内部解析サービス
解析内容

  • パフォーマンス低下因子
  • システムクラッシュ発生原因
  • アプリケーション性能評価
  • 長期潜伏型マルウェアの検出と分析
  • メモリフォレンジックス



 Windowsシステムコード自体がインターネット越しに随時更新されている現在、豊富な経験を誇るベテラン技術者でも、不意を打たれたように、なぜ?、とつぶやく回数が増えています。現在の私たちに必要とされるのは、目の前の問題に対処できる一過性のハウツー知識に加え、予想外の局面に含まれる、不明な要素を自力で解明する手段です。解明のカギは、メモリ内に埋まっています。次の初歩的なコマンドライン操作は、WinDbgがC++とMASMの2種類の発想をサポートし、高度なメモリフォレンジックを可能としていることを示しています。
0: kd> r? $t0 = @@c++((nt!_kthread*)@$thread)
0: kd> r? $t1 = @@c++((nt!_eprocess*)@$t0->Process)
0: kd> r $t2 = @@c++(&@$t1->ImageFileName)
0: kd> dc @$t2 @$t2+0n15
fffff802`50bca738  656c6449 00000000 00000000 00000000  Idle............
0: kd> .printf "%ma\r\n", @$t2
Idle
0: kd> r? $t0 = @@c++((nt!_kthread*)@$thread)
0: kd> r? $t1 = @@c++((nt!_eprocess*)@$t0->Process)
0: kd> r $t2 = @@masm(@$t1+0x438)
0: kd> dc @$t2 @$t2+0n15
fffff802`50bca738  656c6449 00000000 00000000 00000000  Idle............
0: kd> .printf "%ma\r\n", @$t2
Idle
 セキュリティー分野で活動する人々の発信情報に目を通してみますと、最近では、ハードディスクなどにファイルを作成せず、メモリ内でのみ動き回るマルウェア(Fileless Malware)が増えているといわれます。メモリ内に埋まっている情報を詳しく解析すれば、そのような痕跡を残さない不正なコードの動きを把握することができます。



オンサイトセミナー




サービスメニュー
Windowsクラッシュダンプ解析サービス Windowsメモリフォレンジック

Copyright©豊田孝 2004- 2017
本日は2017-11-22です。