SleuthKitのフロントエンドである「PTK」のインストールメモです。
同じフロントエンドとしては「Autopsy」が有名です。
インストール方法も「Autopsy」のほうが相当楽なのですが
操作性や見栄え、メモリイメージへの対応などを考えると
今後は、「PTK」が主流になっていくのかなぁ。
ということもあり、メモに残すことにしました。
インストール環境は、Ubuntu 9.10です。PTKは 1.0.5 です。
Read More
Category Archives: forensic
PTKインストールメモ
0
Win32dd & Win64dd v1.3.20090909 (RC2) beta メモ
Windowsのメモリダンプを取得するツール[Win32dd & Win64dd v1.3.20090909 (RC2) beta]のオプションメモです。
以前に、win32dd v1.2.2.20090608 オプションメモを書いたのですが今回のバージョンアップで
・ネットワークに対応
・64bitサポート
・速度向上
・ハッシュサポート
・マッピングメソッドの追加
・BSOD、ハイバネーション対応
・Windbg用にMicrosoftクラッシュダンプ対応
といった大きな変更によって、オプションも追加され、記述方法も変更になったため新たにメモを作成しました。
いつも通りボクの感覚的翻訳になりますのでその点はご容赦くださいね。
公式サイトはこちら。
Read More
mdd オプションメモ
Windowsのメモリダンプを取得するツール[mdd]のオプションメモです。
[win32dd]よりもダンプする速度が速いと思います。
オプションも簡潔ですので個人的にはこちらが手っ取り早くお勧めです。
メモリダンプ取得の進捗がタイトルバーに表示されるところも好感度が高いです。
公式サイトはこちら。
Usage:mdd < -o OUTPUTFILE> [-qvcw]
| オプション | 効果 | |
| -o OUTPUTFILE | 出力するメモリダンプファイル名を指定。 |
|
| -q | エラー以外の出力を表示しない。 |
|
| -v | 冗長モード。マッピングの失敗したオフセットを表示。 |
|
| -w | GPLのための再分配状態。 |
|
| -q | GPLのための保証内容。 |
|
メモリダンプ取得例
Read More
win32dd v1.2.2.20090608 オプションメモ
Windowsのメモリダンプを取得するツール[win32dd v1.2.2.20090608]のオプションメモです。
公式サイトはこちら。
Usage:win32dd.exe [option] [output path]
| キャプチャ停止条件関連 | ||
| オプション | 効果 | |
| -r | 生のメモリダンプ、スナップショットを作成。ダンプファイル名を指定。 |
|
| -l | マッピングレベルを指定([-r]と共に使用) |
|
| 0 | \\Device\\PhysicalMemory deviceを開く。 |
|
| 1 | Kernel API MmMapIoSpace()を使う。 |
|
| -d | フルメモリダンプを取得。ダンプファイル名を指定。 |
|
| -t | MSTFダンプタイプを指定([-d]と共に使用) |
|
| 0 | オリジナルのMmPhysicalMemoryBlock。 |
|
| 1 | MmPhysicalMemoryBlock。(PFN0を含む) |
|
| -h | ヘルプを表示。 |
|
メモリダンプ取得例
Read More
