主にメモリフォレンジックフレームワークであるVolatilityを利用したメモリ解析のメモ。
Python2製及びPython3製が存在する。
現在(2021/03/20時点)では、プラグインの豊富さ、対応プロファイルの観点からPython2製を利用する。
Volatilityでメモリを解析する際、プロファイルを指定して解析を進めていく。
デフォルトでいくつかのプロファイルが用意されているものの、解析対象に対応したプロファイルが無い場合は、自分で作成する必要がある。
メモリレイアウトがそれぞれの環境で異なるためである。
本稿では、Volatilityで利用するプロファイルを自作する手順を説明する。
volatilityfoundation/volatility
volatilityfoundation/volatility3
本メモのスコープを下記に記載する。