volatilityツールの使い方!メモリから何が分かる?メモリフォレンジックツールVolatilityを用いると、メモリから様々な情報を入手することができます。今回は、Windowsのメモリファイルを用いた、解析ツールvolatilityの使い方を紹介します。 準備調査対象のメモリファイル作成テスト用にメモリファイルを作成します。 今回は、Windows 7上でFTK Imagerを使って作成しました。 メモリファイルmemdump.memは、メニューのfile–Capture MemoryでCapture Memoryボタンを押すことで、指定のフォルダに作成されます。 メモリファイル作成volatilityツールのインストールメモリファイルの解析マシンとして、Kali Linuxを使用します。 下記コマンドでツールをインストールします。 sudo apt install volatility -y使い方環境情報を取得、設定する初めにメモリファ
