[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[port139:01511] Re: FYI: Forensic とは何か
- To: port139@xxxxxxxxxxxxxxxxxxxxx
- Subject: [port139:01511] Re: FYI: Forensic とは何か
- From: Kensuke Nezu <nez@xxxxxxxxxxx>
- Date: Tue, 08 Oct 2002 11:34:37 +0900
根津です。
Tanaka Souji wrote:
> forensic acquisition utilities の dd.exe は入力としてメモリ
> (PhysicalMemory)を指定できますが、UNIX の dd でも同様の指定
> ができますでしょうか?
>
> dd.exe if=\\.\PhysicalMemory of=d:\images\PhysicalMemory.img
どのエリアを取りたいのかにもよるとは思うのですが、/dev/kmemや、
/dev/memなど大抵のUNIX(とその親戚)のシステムには物理メモリを
指しているデバイスがあるとは思いますが、ddを起動することで壊れて
しまう部分があり、完全なsnapshotは取れないですよね?
汎用機なんかですと、ハードウェアやVM(汎用機の仮想マシン機構)
によるダンプや、OSによるリスタートダンプ(これはSunのCtrl-Aと
一緒ですね)、それからスタンドアロンダンプ(テープからブート
してテープにダンプを取る)なんていういくつかの方法がありました。
#スタンドアロンダンプは作っていたことがあります。
最近のPCで言うと、BIOSのメモリチェックをオフに設定しておいて、
ウォームスタートさせることさえできれば、OSが必ず内部のワークに
しか使っていないような壊れてもいいページが1つだけあれば、何とか
スタンドアロンダンプみたいなブートが作れるかもしれませんね・・・。
--
------
根津 研介 日本Sambaユーザ会 / セキュリティ・スタジアム実行委員会 / (株)ファム
日本Sambaユーザ会 : http://www.samba.gr.jp
セキュリティスタジアム : http://www.security-stadium.org <競技参加者、ボランティア募集中>
ファムオープンソースセミナー : http://www.famm.jp
※日経ネットワークセキュリティ VOL.2 好評発売中
http://nikkeibyte.com/Books/#NikkeiNetworkSecurity2