セキュリティコンサルタントの日誌から

セキュリティに関するエッセイなど

11/29に本『実践 メモリフォレンジック』が発売されます。

11/29に、私が技術監修した本『実践 メモリフォレンジック(オライリージャパン)が発売されます。

www.oreilly.co.jp

手元には、見本誌も届きました。

本書は、Group-IB社のSvetlana Ostrovskaya氏、Oleg Skulkin氏によって書かれた書籍『Practical Memory Forensics: Jumpstart effective forensic analysis of volatile memory』の翻訳本です。過去翻訳した『初めてのマルウェア解析』や『詳解 インシデントレスポンス』などでもメモリフォレンジックについては1章ほど言及されていますが、Windows OSに関する記載が中心であり、メモリフォレンジックを専門とする書籍は、まだ日本にありませんでした。

本書は、Volatility Frameworkを題材にメモリフォレンジックについても丁寧かつ体系的に記載された書籍で、マルウェア解析やフォレンジックについて学びたい方、情報が少ないLinuxやmacOSについても学べる一冊となっています。

今回は技術監修として入らせていただきましたので、オススメポイントを紹介していきます。

オススメポイント:メモリフォレンジックを体系的に学べる

メモリフォレンジック分野としては、2014年に発売された『The Art of Memory Forensics: Detecting Malware and Threats in Windows, Linux, and Mac Memory 』が最も有名な書籍ですが、その後更新されておらず、情報が古くなってしまっているという点がありました(とはいえ、個人的には今でも読む価値がある本だと思います)。本書籍は、最先端の情報が盛り込まれている書籍といえるでしょう。

また、本書の特徴として、メモリの取得・解析プロセスについて、Windowsのみならず、情報が少ないLinuxやmacOSにおけるメモリフォレンジックについても丁寧かつ体系的に解説されています。そのため、メモリフォレンジックという切り口で各OSを体系的に学ぶことが可能です。

以下に目次を示します。

第Ⅰ部 メモリフォレンジックの基礎 
1章 メモリフォレンジックの意義
2章 メモリダンプの取得

第Ⅱ部 Windowsでのメモリフォレンジック
3章 Windowsでのメモリの取得
4章 Windowsでのユーザの挙動の解析
5章 Windowsでのマルウェアの検知と解析
6章 Windowsにおける揮発性メモリの情報源

第Ⅲ部 Linuxでのメモリフォレンジック
7章 Linuxでのメモリの取得
8章 Linuxでのユーザの挙動解析
9章 Linuxでのマルウェアの検知と解析

第Ⅳ部 macOSでのメモリフォレンジック

10章 macOSでのメモリの取得
11章 macOSでのマルウェアの検知と解析

付録 Volatility 3の基本的な使用方法

今回は、Volatility Frameworkの機能を最大限使う観点からVersion 2で解説しています。一方で、将来的にVolatility3が主流になることを踏まえ、北原さんによりVolatility3の利用方法、シンボルの作成方法などについても解説されていますので、その意味でもメモリフォレンジックを学びたいと思う方に最適な書籍です。

既存書籍との位置づけについて

過去にも、DFIR(Digital Forensics & Incident Response)関連の書籍の翻訳をしているので、簡単に過去翻訳した書籍との位置づけを紹介したいと思います。過去に私が翻訳した書籍にも、メモリフォレンジックについて1章ほど言及されています。

両者とも、メモリフォレンジックについて、2点の特徴を踏まえて丁寧に解説されています。

  • マルウェア解析・インシデント対応など各目的を達成する手法に焦点を当てていること
  • Windows OSに特化した記載になっていること

そのため、マルウェア解析やインシデントレスポンスなどにおいて、どのようにメモリフォレンジックが活用されるか学んだ後、さらにメモリフォレンジック技術を体系的に学んだり、情報が少ない他のOS(Linux・macOS)のメモリフォレンジックに応用する手法などを学ぶのに本書は最適な一冊だといえますし、既存の書籍とも補完関係にあるといえる一冊だと思います。

 

私自身も本書の技術監修を通じて、様々な学びがありました。非常に良い書籍なので、ぜひ書店やAmazonで手に取っていただけると嬉しいです!