2021年10月22日

NECサイバーセキュリティ戦略本部セキュリティ技術センターの松本です。本記事では、メモリフォレンジックツールVolatility Framework [1]（以下、volatility）のプラグインであるVolatility Explorer [2] [3]（以下、VolExp）についてご紹介します。volatilityは主にフォレンジック [4]において、メモリ解析をするオープンソースのCLIツールです。VolExpはvolatilityをGUIで操作することのできる拡張機能を提供します。類似のツールとしてはKanivola [5]がありますが、VolExpはよりリッチなGUIであり、Process Explorer/Hacker [6]を意識したGUIになっています。VolExpはAviel Zohar氏が開発し、GPLv3ライセンスを適用しています。

本記事の対象読者として、volatilityを業務やCTFで触ったことがある方を想定しています。volatilityについて馴染みの無い方については、NECセキュリティブログにて別の紹介記事がありますので、先にご確認いただくとよりお楽しみいただけるかと思います。「メモリフォレンジックCTF「MemLabs」Lab1のWriteUp）[7]

本記事では主に、Python2系のvolatility 2 に対応したVolExpについて解説していきます。なお、Python3系のvolatility 3に対応したVol3xpは、筆者の環境ではプラグインを正常に読みこむことができませんでした。他のWebサイトでも導入失敗の記事がありましたので、ご参考にしていただければと思います。

セットアップ方法

ここからはセットアップ方法を説明します。動作確認を行った環境は以下の通りです。

本記事は、volatility2のセットアップ、およびPythonパッケージのインストール方法については主旨から外れるため、省略します。以下をご確認いただいた上で、以降の作業を実施してください。

次に、VolExpのソースコードをダウンロードします。Gitコマンドを使ってリポジトリをクローンし中身のvolexp.pyを、volatility2のプラグインのディレクトリにコピーしてください。以下は一例ですので、ご自身の環境に合わせて読み替えてください。

以降は、volatility2で解析する対象のメモリイメージが必要になります。お手元にイメージファイルがない場合には、例えば以下を活用することができます。ご自身でライセンスを確認したうえで、制約の範囲でご利用ください。

本記事で利用したファイルは以下です。

VolExpを実行するには以下のコマンドを使います。--profileオプションにはメモリイメージに合わせて適切なプロファイルを指定してください。プロファイルを調べるためにはkdbgscan [5]というプラグインを使います。

上記コマンドを実行すると、--DUMP-DIRが指定されていないという警告が表示されます。これはダンプ用のデフォルトのパスが指定されていませんという意味です。表示されるGUI上で指示に従って、任意のパスを指定して先に進むと、以下のようなGUI画面が表示されます。

なお、ターミナルには以下のような表示があり、ところどころエラーが出力されていました。機会があれば、コードにも目を通して修正してみると良いかもしれません。

お疲れ様です。セットアップは以上です。「GoodLuck & Have Fun！」

GUI操作

それでは、GUI画面の操作方法について概要を説明していきます。本記事では以下を説明します。

上記以外については、以下のPDF資料を参考にすることができます。より詳しく知りたいという方は、ご確認ください。

1. 表示調整

Process, Pidなどが表示されているカラム部分を右クリックして、「Select Columns」をクリックすると、表示するカラムを増減させることができます。また、同じ場所で右クリックすると、デフォルトのカラム選択に戻したり、表示しているものをCSVにエクスポートしたりすることができます。

2. 検索

適当な位置を選択して、画面上で検索したい文字列をキーボード入力すると、ヒットするアイテムが選択されます。下の画像では、serと入力すると、service.exeが選択状態になり、ALIと入力するとALINA＿CJLXYJ.eが選択状態になっています。大量の表示がある場合には、目的のものを見つけやすくなりそうです。

3. 詳細表示

プロセス毎のDlls,Handles,Networkを一覧表示することができます。一度表示した後、消す方法は分かりませんでした。（表示されていて困るものではないので、よしとします。）

右クリックには、他にもダンプ機能やVirus Total連携機能がありました。Properties情報には、他にも有用な情報が確認できそうです。

4. オプション設定

「Options > Options[Ctrl+o]」でオプションの選択画面に移動できます。

5. プラグイン実行

Plugins からインストール済みの任意のプラグインを起動することができます。

6. ジョブ一覧確認

プログレスバーを押すことで、実行中および完了したジョブの一覧を確認することができます。VolExpはマルチスレッド、マルチプロセスで動作すると説明があり、複数のプラグイン実行を並列で処理することができるようになっています。

7. 保存

「File > Save/Save As」で現在の状態をファイルに出力することができます。出力先は任意に設定することができます。

8. ダンプ

怪しい実行ファイルが見つかった場合には、ダンプすることができます。

補足：
volatility3のプラグインであるVol3xpには、他にも複数のプラグインが用意されており、GUI操作補強するものになっているようです。Vol3xpのセットアップが正常に動くようになれば、試してみたいと思います。

まとめ

本記事では、Volatility Explorerについてセットアップ方法と基本的な操作のイメージを解説しました。本プラグインはVolatility Plugin Contest [8]というWEBサイトで見つけました。同サイトは2013年から毎年開催されており、VolExp（その他のプラグインも含め）は2020年に3位入賞しており、750米ドルを獲得していました。内容は面白そうなのに、プラグインの名前で検索しても、ほとんど解説記事が見当たらなかったため、ブログ執筆の機会を使って調査してみました。並列でプラグインを処理できる点、情報をリッチなGUIで表示でき、検索やCSV出力、ダンプが直感的にできることは非常にメリットがありそうです。一方で、利用者へのセットアップ方法などについての説明が若干不足しているところ（実際に動かせるようになるまで時間がかかった。volatility3の方は最後まで動かせなかった。）や、開発が継続しているのかが不明な点などが、話題に上がらない原因なのかなと感じました。

以上、この記事を通してメモリフォレンジックやセキュリティ全般に少しでも興味を持っていただけたら幸いです。あわよくば、このプラグインを改善やメンテナンスしてくれる人が現れればと祈っております。最後までお読みいただきありがとうございました。

[参考文献]

執筆者の他の記事を読む