Memoryze

ライブ・メモリに残る攻撃活動の痕跡を調査

Memoryze™は、ライブ・メモリに残る攻撃活動の痕跡を調査する無償のメモリ・フォレンジック・ソフトウェアです。メモリ・イメージを取得して解析できるほか、ライブ・システムではページング・ファイルの解析も可能です。

Memoryzeは次の機能を備えています。

  • システム・メモリ全体のイメージを取得(APIコールに非依存)
  • プロセスのアドレス空間全体のイメージを取得し、ディスクに書き込み。プロセスの読み込み済みのDLL、EXE、ヒープ、スタックに対応
  • メモリに読み込まれた特定のドライバまたはすべてのドライバのイメージを取得し、ディスクに書き込み
  • 実行中のすべてのプロセスを列挙(ルートキットにより隠蔽されているプロセスを含む):
    • プロセスでオープンされているすべてのハンドルをレポート(すべてのファイルやレジストリ・キーを含む)
    • 特定のプロセスの仮想アドレス空間を列挙(読み込み済みのすべてのDLL、ヒープおよびスタックの割り当て済みの全領域を含む)
    • プロセスがオープンしているすべてのネットワーク・ソケットを列挙(ルートキットにより隠蔽されているプロセスのソケットを含む)
    • EXEおよびDLLがインポートまたはエクスポートする関数を特定
    • プロセスのアドレス空間に読み込まれたEXEおよびDLLのハッシュを作成(MD5、SHA1、SHA256に対応、 ディスクを使用)
    • EXEおよびDLLのデジタル署名を検証(ディスクを使用)
    • メモリ内の全文字列をプロセス単位で出力
  • メモリに読み込まれたすべてのドライバを特定(ルートキットにより隠蔽されているドライバを含む)。ドライバごとに、次の操作を実行可能
    • ドライバがインポートまたはエクスポートする関数を特定
    • ドライバのハッシュを作成(MD5、SHA1、SHA256に対応、ディスクを使用)
    • ドライバのデジタル署名を検証(ディスクを使用)
    • メモリ内の全文字列をドライバ単位で出力
  • デバイスおよびドライバの階層構造をレポート。この情報は、ネットワーク・パケットやキー入力内容、ファイル・アクティビティのキャプチャに使用可能
  • リンクされたリストをたどりながら、読み込まれたすべてのカーネル・モジュールを特定。システム・コール・テーブル、割り込みディスクリプタ・テーブル(IDT)、ドライバ関数テーブルのフックを特定(フックは、しばしばルートキットで使用されます)

Memoryze for the Macは次の機能を備えています。

  • システム・メモリ全体のイメージを取得
  • 各プロセスのメモリ領域を取得
  • 実行中のすべてのプロセスを列挙(ルートキットにより隠蔽されているプロセスを含む)
  • プロセスごとに、次の操作を実行可能
    • プロセスでオープンされているすべてのファイル・ハンドルをレポート(すべてのファイルやソケット、パイプなど)
    • プロセスの仮想アドレス空間を列挙
      • 読み込み済みのライブラリ
      • ヒープおよび実行スタックの割り当て済みの領域
      • ネットワーク接続
      • 読み込み済みのすべてのカーネル拡張(ルートキットにより隠蔽されている拡張を含む)
      • システム・コール・テーブルおよびMachトラップ・テーブル
      • 実行中のすべてのMachタスク
      • ASLRをサポート

Memoryzeは、上記のすべての機能をライブ・システム・メモリまたはメモリ・イメージ・ファイルに対して実行できます。Memoryze以外のツールで取得されたメモリ・イメージ・ファイルにも対応します。

Memoryzeをダウンロード

Memoryze

Memoryzeのリリース・ノート

最新バージョン:Memoryze 3.0
公開日:2013年7月23日

  • Memoryze 3.0の新機能:
    • TCPにおける全12種類の状態に対応したフォレンジック・レポート
    • Memoryze 3.0の出力をRedlineにインポートして参照
    • IPv6をサポート
    • 複数のバグを修正
  • サポートされるオペレーティング・システム: Windows 8 x86/x64、Windows Server 2012 x64
  • ファイル・サイズ:8.21 MB
  • 完全性検証用ハッシュ:
    • MD5:94973F0FE06E94F32A727B7860A35096
    • SHA-1:4F719A43C7464E1794398DDE9EB1DD43AF6193D7

Memoryzeは、次のオペレーティング・システムを正式サポートします。

  • Windows 2000 Service Pack 4(32ビット版)
  • Windows XP Service Pack 2およびService Pack 3(32ビット版)
  • Windows Vista Service Pack 1およびService Pack 2(32ビット版)
  • Windows Vista Service Pack 2(64ビット版)*
  • Windows 2003 Service Pack 2(32ビット版/64ビット版)
  • Windows 7 Service Pack 0(32ビット版/64ビット版)
  • Windows 2008 Service Pack 1およびService Pack 2(32ビット版)*
  • Windows 2008 R2 Service Pack 0(64ビット版)
  • Windows 8 Service Pack 0(32ビット版/64ビット版)*
  • Windows Server 2012 Service Pack 0(64ビット版)*

* 新しいオペレーティング・システムについては、数百万台規模のホストでの運用実績がまだない状態でのサポートとなります。Memoryzeの出力を視覚化するには、Redlineをダウンロードするか、XMLビューアを使用してください。FireEyeのRedlineは、ホスト調査を実施するための優れた無償ツールです。メモリやファイルを解析し、セキュリティ脅威の診断プロファイルを作成して、不正な活動の痕跡を特定します。

Memoryze for the Macのリリース・ノート

最新バージョン:Memoryze for the Mac 1.1
公開日:2012年11月5日

  • サポートされるオペレーティング・システム: Mac OS X Snow Leopard(10.6)32ビット版/64ビット版、Mac OS X Lion(10.7)32ビット版/64ビット版、Mac OS X Mountain Lion(10.8)64ビット版
  • ファイル・サイズ: 251 KB
  • 完全性検証用ハッシュ:
    • MD5(MacMemoryze.dmg):C3463BBBDB597A1F29169F1331D690F6
    • SHA-1(MacMemoryze.dmg):9C84D86FE4B10FAE482CB794719205134F02A802