memory-forensics
Volatilityや関連ツールを用いたメモリ取得・プロセス解析・アーティファクト抽出など、メモリフォレンジックの高度な技術を習得しています。メモリダンプの解析、インシデント調査、RAMキャプチャからのマルウェア分析を行う際に活用してください。
description の原文を見る
Master memory forensics techniques including memory acquisition, process analysis, and artifact extraction using Volatility and related tools. Use when analyzing memory dumps, investigating incidents, or performing malware analysis from RAM captures.
SKILL.md 本文
メモリフォレンジックス
インシデント対応とマルウェア分析のためのメモリダンプの取得、分析、アーティファクト抽出に関する包括的な技術。
メモリ取得
ライブ取得ツール
Windows
# WinPmem (推奨)
winpmem_mini_x64.exe memory.raw
# DumpIt
DumpIt.exe
# Belkasoft RAM Capturer
# GUIベース、raw形式で出力
# Magnet RAM Capture
# GUIベース、raw形式で出力
Linux
# LiME (Linux Memory Extractor)
sudo insmod lime.ko "path=/tmp/memory.lime format=lime"
# /dev/mem (制限あり、権限が必要)
sudo dd if=/dev/mem of=memory.raw bs=1M
# /proc/kcore (ELF形式)
sudo cp /proc/kcore memory.elf
macOS
# osxpmem
sudo ./osxpmem -o memory.raw
# MacQuisition (商用)
仮想マシンのメモリ
# VMware: .vmemファイルはraw形式のメモリ
cp vm.vmem memory.raw
# VirtualBox: デバッグコンソールを使用
vboxmanage debugvm "VMName" dumpvmcore --filename memory.elf
# QEMU
virsh dump <domain> memory.raw --memory-only
# Hyper-V
# チェックポイントがメモリ状態を含む
Volatility 3フレームワーク
インストールとセットアップ
# Volatility 3をインストール
pip install volatility3
# シンボルテーブルをインストール (Windows)
# https://downloads.volatilityfoundation.org/volatility3/symbols/ からダウンロード
# 基本的な使用方法
vol -f memory.raw <plugin>
# シンボルパス付き
vol -f memory.raw -s /path/to/symbols windows.pslist
必須プラグイン
プロセス分析
# プロセスの一覧表示
vol -f memory.raw windows.pslist
# プロセスツリー (親子関係)
vol -f memory.raw windows.pstree
# 隠蔽プロセスの検出
vol -f memory.raw windows.psscan
# プロセスメモリダンプ
vol -f memory.raw windows.memmap --pid <PID> --dump
# プロセス環境変数
vol -f memory.raw windows.envars --pid <PID>
# コマンドライン引数
vol -f memory.raw windows.cmdline
ネットワーク分析
# ネットワーク接続
vol -f memory.raw windows.netscan
# ネットワーク接続状態
vol -f memory.raw windows.netstat
DLLとモジュール分析
# プロセスごとのロード済みDLL
vol -f memory.raw windows.dlllist --pid <PID>
# 隠蔽/インジェクションされたDLLの検出
vol -f memory.raw windows.ldrmodules
# カーネルモジュール
vol -f memory.raw windows.modules
# モジュールダンプ
vol -f memory.raw windows.moddump --pid <PID>
メモリインジェクション検出
# コードインジェクションの検出
vol -f memory.raw windows.malfind
# VAD (Virtual Address Descriptor) 分析
vol -f memory.raw windows.vadinfo --pid <PID>
# 疑わしいメモリ領域をダンプ
vol -f memory.raw windows.vadyarascan --yara-rules rules.yar
レジストリ分析
# レジストリハイブの一覧表示
vol -f memory.raw windows.registry.hivelist
# レジストリキーの出力
vol -f memory.raw windows.registry.printkey --key "Software\Microsoft\Windows\CurrentVersion\Run"
# レジストリハイブをダンプ
vol -f memory.raw windows.registry.hivescan --dump
ファイルシステムアーティファクト
# ファイルオブジェクトのスキャン
vol -f memory.raw windows.filescan
# メモリからファイルをダンプ
vol -f memory.raw windows.dumpfiles --pid <PID>
# MFT分析
vol -f memory.raw windows.mftscan
Linux分析
# プロセスの一覧表示
vol -f memory.raw linux.pslist
# プロセスツリー
vol -f memory.raw linux.pstree
# Bashの履歴
vol -f memory.raw linux.bash
# ネットワーク接続
vol -f memory.raw linux.sockstat
# ロード済みカーネルモジュール
vol -f memory.raw linux.lsmod
# マウントポイント
vol -f memory.raw linux.mount
# 環境変数
vol -f memory.raw linux.envars
macOS分析
# プロセスの一覧表示
vol -f memory.raw mac.pslist
# プロセスツリー
vol -f memory.raw mac.pstree
# ネットワーク接続
vol -f memory.raw mac.netstat
# カーネル拡張
vol -f memory.raw mac.lsmod
分析ワークフロー
マルウェア分析ワークフロー
# 1. 初期プロセス調査
vol -f memory.raw windows.pstree > processes.txt
vol -f memory.raw windows.pslist > pslist.txt
# 2. ネットワーク接続
vol -f memory.raw windows.netscan > network.txt
# 3. インジェクション検出
vol -f memory.raw windows.malfind > malfind.txt
# 4. 疑わしいプロセスを分析
vol -f memory.raw windows.dlllist --pid <PID>
vol -f memory.raw windows.handles --pid <PID>
# 5. 疑わしい実行ファイルをダンプ
vol -f memory.raw windows.pslist --pid <PID> --dump
# 6. ダンプから文字列を抽出
strings -a pid.<PID>.exe > strings.txt
# 7. YARAスキャン
vol -f memory.raw windows.yarascan --yara-rules malware.yar
インシデント対応ワークフロー
# 1. イベントのタイムライン
vol -f memory.raw windows.timeliner > timeline.csv
# 2. ユーザアクティビティ
vol -f memory.raw windows.cmdline
vol -f memory.raw windows.consoles
# 3. 永続化メカニズム
vol -f memory.raw windows.registry.printkey \
--key "Software\Microsoft\Windows\CurrentVersion\Run"
# 4. サービス
vol -f memory.raw windows.svcscan
# 5. スケジュールされたタスク
vol -f memory.raw windows.scheduled_tasks
# 6. 最近使用したファイル
vol -f memory.raw windows.filescan | grep -i "recent"
データ構造
Windowsプロセス構造
// EPROCESS (Executive Process)
typedef struct _EPROCESS {
KPROCESS Pcb; // カーネルプロセスブロック
EX_PUSH_LOCK ProcessLock;
LARGE_INTEGER CreateTime;
LARGE_INTEGER ExitTime;
// ...
LIST_ENTRY ActiveProcessLinks; // 双方向リンクリスト
ULONG_PTR UniqueProcessId; // PID
// ...
PEB* Peb; // Process Environment Block
// ...
} EPROCESS;
// PEB (Process Environment Block)
typedef struct _PEB {
BOOLEAN InheritedAddressSpace;
BOOLEAN ReadImageFileExecOptions;
BOOLEAN BeingDebugged; // アンチデバッグチェック
// ...
PVOID ImageBaseAddress; // 実行ファイルのベースアドレス
PPEB_LDR_DATA Ldr; // ローダデータ (DLLリスト)
PRTL_USER_PROCESS_PARAMETERS ProcessParameters;
// ...
} PEB;
VAD (Virtual Address Descriptor)
typedef struct _MMVAD {
MMVAD_SHORT Core;
union {
ULONG LongFlags;
MMVAD_FLAGS VadFlags;
} u;
// ...
PVOID FirstPrototypePte;
PVOID LastContiguousPte;
// ...
PFILE_OBJECT FileObject;
} MMVAD;
// メモリ保護フラグ
#define PAGE_EXECUTE 0x10
#define PAGE_EXECUTE_READ 0x20
#define PAGE_EXECUTE_READWRITE 0x40
#define PAGE_EXECUTE_WRITECOPY 0x80
検出パターン
プロセスインジェクションのインジケータ
# Malfindのインジケータ
# - PAGE_EXECUTE_READWRITE保護 (疑わしい)
# - 非イメージVAD領域内のMZヘッダ
# - アロケーション開始時のシェルコードパターン
# 一般的なインジェクション技術
# 1. クラシックDLLインジェクション
# - VirtualAllocEx + WriteProcessMemory + CreateRemoteThread
# 2. プロセスホローイング
# - CreateProcess (SUSPENDED) + NtUnmapViewOfSection + WriteProcessMemory
# 3. APCインジェクション
# - QueueUserAPC がアラート可能なスレッドをターゲット
# 4. スレッド実行ハイジャック
# - SuspendThread + SetThreadContext + ResumeThread
ルートキット検出
# プロセスリストを比較
vol -f memory.raw windows.pslist > pslist.txt
vol -f memory.raw windows.psscan > psscan.txt
diff pslist.txt psscan.txt # 隠蔽プロセス
# DKOM (Direct Kernel Object Manipulation) チェック
vol -f memory.raw windows.callbacks
# フックされた関数を検出
vol -f memory.raw windows.ssdt # System Service Descriptor Table
# ドライバ分析
vol -f memory.raw windows.driverscan
vol -f memory.raw windows.driverirp
認証情報抽出
# ハッシュをダンプ (先にhivelistが必要)
vol -f memory.raw windows.hashdump
# LSAシークレット
vol -f memory.raw windows.lsadump
# キャッシュされたドメイン認証情報
vol -f memory.raw windows.cachedump
# Mimikatzスタイルの抽出
# 特定のプラグイン/ツールが必要
YARA統合
メモリYARAルールの作成
rule Suspicious_Injection
{
meta:
description = "一般的なインジェクションシェルコードを検出"
strings:
// 一般的なシェルコードパターン
$mz = { 4D 5A }
$shellcode1 = { 55 8B EC 83 EC } // 関数プロローグ
$api_hash = { 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 } // ハッシュをプッシュ、呼び出し
condition:
$mz at 0 or any of ($shellcode*)
}
rule Cobalt_Strike_Beacon
{
meta:
description = "メモリ内のCobalt Strikeビーコンを検出"
strings:
$config = { 00 01 00 01 00 02 }
$sleep = "sleeptime"
$beacon = "%s (admin)" wide
condition:
2 of them
}
メモリのスキャン
# すべてのプロセスメモリをスキャン
vol -f memory.raw windows.yarascan --yara-rules rules.yar
# 特定のプロセスをスキャン
vol -f memory.raw windows.yarascan --yara-rules rules.yar --pid 1234
# カーネルメモリをスキャン
vol -f memory.raw windows.yarascan --yara-rules rules.yar --kernel
文字列分析
文字列抽出
# 基本的な文字列抽出
strings -a memory.raw > all_strings.txt
# Unicode文字列
strings -el memory.raw >> all_strings.txt
# プロセスダンプからのターゲット抽出
vol -f memory.raw windows.memmap --pid 1234 --dump
strings -a pid.1234.dmp > process_strings.txt
# パターンマッチング
grep -E "(https?://|[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3})" all_strings.txt
難読化文字列用FLOSS
# FLOSSは難読化文字列を抽出
floss malware.exe > floss_output.txt
# メモリダンプから
floss pid.1234.dmp
ベストプラクティス
取得のベストプラクティス
- フットプリントを最小化: 軽量な取得ツールを使用
- すべてを記録: 取得の時刻、ツール、ハッシュを記録
- 整合性検証: 取得直後にメモリダンプのハッシュを取得
- チェーン・オブ・カストディ: 適切なフォレンジック処理を維持
分析のベストプラクティス
- まず広く見る: 深く掘り下げる前に全体像を把握
- 相互参照: 同じデータに対して複数のプラグインを使用
- タイムラインの相関: メモリの結果をディスク/ネットワークと相関させる
- 結果を記録: 詳細なメモとスクリーンショットを保持
- 結果を検証: 複数の方法で結果を検証
よくある落とし穴
- スティール データ: メモリは揮発性であり、迅速に分析する
- 不完全なダンプ: ダンプサイズが予想されるRAMと一致することを確認
- シンボル問題: OSバージョンに合致する正しいシンボルファイルを確認
- スメア: 取得中にメモリが変更される可能性がある
- 暗号化: メモリ内の一部のデータは暗号化されている可能性がある
ライセンス: MIT(寛容ライセンスのため全文を引用しています) · 原本リポジトリ
詳細情報
- 作者
- wshobson
- リポジトリ
- wshobson/agents
- ライセンス
- MIT
- 最終更新
- 不明
Source: https://github.com/wshobson/agents / ライセンス: MIT
関連スキル
superfluid
Superfluidプロトコルおよびそのエコシステムに関するナレッジベースです。Superfluidについて情報を検索する際は、ウェブ検索の前にこちらを参照してください。対応キーワード:Superfluid、CFA、GDA、Super App、Super Token、stream、flow rate、real-time balance、pool(member/distributor)、IDA、sentinels、liquidation、TOGA、@sfpro/sdk、semantic money、yellowpaper、whitepaper
civ-finish-quotes
実質的なタスクが真に完了した際に、文明風の儀式的な引用句を追加します。ユーザーやエージェントが機能追加、リファクタリング、分析、設計ドキュメント、プロセス改善、レポート、執筆タスクといった実際の成果物を完成させるときに、明示的な依頼がなくても使用します。短い返信や小さな修正、未完成の作業には適用しません。
nookplot
Base(Ethereum L2)上のAIエージェント向け分散型調整ネットワークです。エージェントがオンチェーンアイデンティティを登録する、コンテンツを公開する、他のエージェントにメッセージを送る、マーケットプレイスで専門家を雇う、バウンティを投稿・請求する、レピュテーションを構築する、共有プロジェクトで協業する、リサーチチャレンジを解くことでNOOKをマイニングする、キュレーションされたナレッジを備えたスタンドアロンオンチェーンエージェントをデプロイする、またはアグリーメントとリワードで収益を得る場合に利用できます。エージェントネットワーク、エージェント調整、分散型エージェント、NOOKトークン、マイニングチャレンジ、ナレッジバンドル、エージェントレピュテーション、エージェントマーケットプレイス、ERC-2771メタトランザクション、Prepare-Sign-Relay、AgentFactory、またはNookplotが言及された場合にトリガーされます。
web3-polymarket
Polygon上でのPolymarket予測市場取引統合です。認証機能(L1 EIP-712、L2 HMAC-SHA256、ビルダーヘッダー)、注文発注(GTC/GTD/FOK/FAK、バッチ、ポストオンリー、ハートビート)、市場データ(Gamma API、Data API、オーダーブック、サブグラフ)、WebSocketストリーミング(市場・ユーザー・スポーツチャネル)、CTF操作(分割、統合、償却、ネガティブリスク)、ブリッジ機能(入金、出金、マルチチェーン)、およびガスレスリレイトランザクションに対応しています。AIエージェント、自動マーケットメーカー、予測市場UI、またはPolygraph上のPolymarketと統合するアプリケーション構築時に活用できます。
ethskills
Ethereum、EVM、またはブロックチェーン関連のリクエストに対応します。スマートコントラクト、dApps、ウォレット、DeFiプロトコルの構築、監査、デプロイ、インタラクションに適用されます。Solidityの開発、コントラクトアドレス、トークン規格(ERC-20、ERC-721、ERC-4626など)、Layer 2ネットワーク(Base、Arbitrum、Optimism、zkSync、Polygon)、Uniswap、Aave、Curveなどのプロトコルとの統合をカバーします。ガスコスト、コントラクトのデシマル設定、オラクルセキュリティ、リエントランシー、MEV、ブリッジング、ウォレット管理、オンチェーンデータの取得、本番環境へのデプロイ、プロトコル進化(EIPライフサイクル、フォーク追跡、今後の変更予定)といったトピックを含みます。
xxyy-trade
このスキルは、ユーザーが「トークン購入」「トークン売却」「トークンスワップ」「暗号資産取引」「取引ステータス確認」「トランザクション照会」「トークンスキャン」「フィード」「チェーン監視」「トークン照会」「トークン詳細」「トークン安全性確認」「ウォレット一覧表示」「マイウォレット」「AIスキャン」「自動スキャン」「ツイートスキャン」「オンボーディング」「IP確認」「IPホワイトリスト」「トークン発行」「自動売却」「損切り」「利益確定」「トレーリングストップ」「保有者」「トップホルダー」「KOLホルダー」などをリクエストした場合、またはSolana/ETH/BSC/BaseチェーンでXXYYを経由した取引について言及した場合に使用します。XXYY Open APIを通じてオンチェーン取引とデータ照会を実現します。