HOME»情報処理安全確保支援士掲示板»メモリダンプとディスクイメージの違い

情報処理安全確保支援士掲示板


[0923] メモリダンプとディスクイメージの違い

 情セ担当者さん(No.1) 
マルウェア感染時の初動対応について質問です。
「PCをLANから切り離す前に取得すべき情報は何か」系の問題への解としてよくあるのが、
・メモリダンプ
・ディスクイメージ(イメージファイル)
が挙げられると思いますが、この明確な違いは何でしょうか。

私は、メモリダンプは取得時点のメモリ内容の記録、ディスクイメージは記憶媒体丸ごとの記録(メモリ内容も含む)と認識しています。

過去問でも回答がメモリダンプのものやディスクイメージのものがありますが、例えば、メモリダンプが回答例の場合はディスクイメージ(イメージファイル)と回答しても正解になるのか気になりました。
(平成30年度 秋期 午後U 問2 設問3(3)など)
どなたかご教示ください。
2022.09.14 12:25
pixさん(No.2) 
SC・シルバーエキスパート
メモリダンプとディスクイメージは明確に異なります。
この2つを区別する必要があります。

・ディスクイメージ
ディスク装置の状態(主に記録されているファイル)を復元・調査するために利用
イメージ自体はファイルとして保存される
揮発性・変更性は中程度

・メモリダンプ
電源ON時にメモリ上に配置されている以下のような情報を復元・調査するために利用
メモリダンプ自体はファイルとして保存される
電源OFFで消失するので、最優先で取得
OS情報
  OSが使用しているメモリ上のデータ
  ユーザーログイン情報
プロセス情報
  プロセス一覧情報
  プロセスが使用しているメモリ上のデータ
ネットワーク情報
  インターフェース情報
  統計情報
  ルーティングテーブル情報
2022.09.14 13:18
 情セ担当者さん(No.3) 
>pixさん
詳細なご回答ありがとうございます。
両者が明確に異なること、理解しました。

では、実際の証拠保存の際は、LANから切り離したり電源をOFFにする前に、ディスクイメージもメモリダンプも両方取得する必要がある、と言う認識で相違ないでしょうか。
(ディスクイメージだけではメモリ上のデータは保存できないため)

重ねての質問で恐縮ですが、ご回答いただけますと幸いです。
2022.09.14 14:43
pixさん(No.4) 
SC・シルバーエキスパート
>では、実際の証拠保存の際は、LANから切り離したり電源をOFFにする前に、
>ディスクイメージもメモリダンプも両方取得する必要がある、と言う認識で
>相違ないでしょうか。(ディスクイメージだけではメモリ上のデータは
>保存できないため)

ディスクイメージ、メモリダンプを取得するタイミングについては
絶対の解答はないです。重要度、要件によって変化します。
私の記憶では、SCの過去問でも問題によって取得タイミングについて
違いがあったと記憶しています。

・メモリダンプの取得タイミング
理想のタイミングはLANから切り離す前です。
理由はLANから切り離してしまうと、マルウェアが活動停止したり、
ネットワークインターフェースがダウンし、ネットワーク関連情報が
消失してしまします。
しかし、マルウェアの拡散を防ぐためにLANからの切り離しを最優先に
している場合は、ネットワーク情報の消失は許容するといった
方針も考えられます。

・ディスクイメージの取得タイミング
PC or サーバ電源ON時にイメージが取得できれば、マルウェアが
動作している際の一時ファイルも取得できます。
しかし、重要ファイルを破壊する恐れのあるマルウェアの場合は
即座に電源OFFにしてOSをシャットダウンし、マルウェアの動作を
停止させます。
その後に、ディスク装置を物理コピーする外部機器を用いてディスク
の複製を作成します。
2022.09.14 15:15
 情セ担当者さん(No.5) 
>pixさん
ケースバイケースに合わせて、と言う事ですね。
教えて頂いた情報をもとに、本試験でも文脈に合った回答が出来る用に頭の中を整理したいと思います。
詳細にご回答いただき、ありがとうございました。
2022.09.15 10:21
鯖缶さん(No.6) 
私はこの回のとき受験しました(落ちました)
その時は「PC内の全てのデータ」としました
正誤は不明ですが皆さんどう解釈しますか?

揮発性の高いものから急いで残すのは理解しながらも文字数が少なく、苦肉の策で書いた答えです
2022.09.15 12:19
pixさん(No.7) 
SC・シルバーエキスパート
・下線C「PC-Aをネットワークから切断して」
・解答
問題:PCのネットワークインタフェースや通信の状態についての情報が失われる
措置:メモリダンプを取得する
とあります。
したがって、「ネットワークから切断した際に消失する情報を保全するには
どうしたらいいか」というのが問になると思われます。

上の回答でも説明していますが、
・ネットワーク接続時
・ネットワーク切断時
・OS起動時
・OS停止時
で保全できる情報は異なります。
この点を区別しておかなければ、本問は解答できないと思われます。
2022.09.15 12:38

【返信投稿用フォーム】

お名前(10文字以内)

顔アイコン


本文(2,000文字以内)

投稿削除用のパスワード(20文字以内)

プレビュー
※宣伝や迷惑行為を防止するため、当サイトとIPAサイト以外のURLを含む文章の投稿は禁止されています。

投稿記事削除用フォーム

投稿No. パスワード 
© 2014-2022 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop