こういう必要性に迫られ、代表的な無料フォレンジックツールであるVolatility Frameworkでなんとかお金かけずにやろうとしていますが、やっとスタートラインに立てました。

一番大変なのが、題材となるWindowsのダンプメモリをどこから調達するかです。VolatilityはWindowsやLinuxのメモリアーキテクチャには相当対応してますが、Win10関係はプロファイルがないものが多い。最初は自分のハウスマシンでやったのですが、最新すぎてプロファイルがない。

そこでVBoxに昔のWindows7をゲストOSに入れてやれば、昔のWindowsなら対応しているのではと思い環境構築。isoイメージをDLするのに12時間ほどかかりました。なんとかDLで動きましたが、ホストOSとホルダ共有ができず、おかしいなと思っていたらVBoxのAdditional CD入れればいいらしい。が、これがうまく入らずこれまた１日以上浪費しましたが、なんとかなりました。

winPmemも最新版はmini版しかないが、もうrawデータでもなんでもいいと思って採取でき、volatilityで動かしたら、やっとここまでとれた。これからが、本番なのですが今日はもう寝よう・・・

メモリフォレンジックのフレ代表的ームワークであるvolatilityを作ろうと思い、Windows10にそのままやろうとしましたが、マルウェア付きメモリを解析するにはセキュリティ上よろしくないし、volatility2.6_win64_standalone.exe はなんとか持ってこれたものの、プロファイルをうまくゲットできません。

そこで、VBox上のubuntu20に環境作ろうとしましたが、ubuntuはpythonもpipも元々入ってません。しかも、volatilityは最新版は３ですが、これだといろいろ機能が不足とか、環境作成が大変なようなので、現状は２が推奨だとか言われてます。

で、volatolity2にしているわけですが、ubuntu20上にpython2を入れるのはいいですが、pipもないとかであれこれしたのですが、以下のサイトにあるようにやるとすんなりできました。

Volatilityを使ってみる - SnoozyVolatilityを使ってみる メモリフォレンジックフレームワークであるVolatilityを使ってみる． Volatilityは現在Python3で記述されたものや，Windows上でスタンドアロンで動作するexe形式のものが配布されているが，この記事執筆時点ではプロファイルやコマンドの対応状況の点で，Python2製が最も充実しているようにみえる． そ…snoozy.hatenablog.com

またvolatolityで解析対象とするメモリイメージですが、自分のwin10パソコンでFTKimagerとかで採取自体はできますが、うまくプロファイルを採取できなかったので、以下のところのものを参考にしてみようと思います。

Memory SamplesAn advanced memory forensics framework. Contribute to volatilityfoundation/volatility development by creating an account on GitHub.github.com

能登地震で被災されている方々のご苦労をよそに、現地のニーズもおかまいなしに自身のパフォーマンスに興じている迷惑な人物もいる。しかし、おかしいのはこれだけではありません。

どこぞの政治政党は、ＪＲのあちこちの駅前で、募金を呼び掛けているがよく聞いているとヘンなことを叫んでいる。外国人に参政権を与えようとしていた人物が市長選で敗退しましたが、そのリベンジが必要だ　など震災と何の関係もないことを混ぜこんで大きな声で訴えていた。

裏金で腐敗した与党も醜悪だが、それを批判する野党も上記のような有様だから一般人の支持など得られるわけもない。だが、それもこれもそういう輩とか政党に票を入れている方に責任がある。入れたい政党はどこにもないが、そういう場合は、全員失格だという意思表示が必要なのだろう。

投票所に行って自分の名前を書く、全員失格　と書いて投票し、何回やりなおしてもほぼ100%無効票　という状態になればよいのだろう。それには、ネットで投票できるとよい。駅前や町中をひたすら名前を連呼するような選挙はいらない。