メモリフォレンジックス

プログラムが確保したバッファ（メモリ領域）の境界を超えてデータを書き込むことで、隣接するメモリ領域を破壊する脆弱性。スタック上のリターンアドレスを書き換えて任意のコードを実行される可能性がある。対策としてバッファサイズのチェック、安全な関数の使用、ASLR、DEP/NXビットの活用がある。

不審なプログラムやファイルを隔離された仮想環境で安全に実行し、その挙動を観察・分析する技術。マルウェアの動的解析に使用され、ファイル操作、レジストリ変更、ネットワーク通信などの振る舞いを記録する。マルウェア対策ソフトの検知を回避する解析妨害手法への対処も重要となる。

検体となるマルウェアの動作・目的・影響範囲を調査する技術。サンドボックスで実際に動作させる動的解析と、逆アセンブルなどでコードを読み解く静的解析がある。解析結果はインシデントの被害範囲の特定やIoCの抽出、再発防止策の立案に活用される。

コンピュータの電源を切断すると失われるデータ。メモリ上のプロセス情報、ネットワーク接続状態、ARPキャッシュ、ルーティングテーブル、ログインセッションなどが該当する。証拠保全では、揮発性の高い順に取得するOrder of Volatilityの原則に従い、不揮発性データより優先して収集する。

フォレンジック調査において、ファイルの作成・変更・アクセス日時、ログエントリ、イベント記録などの時系列データを統合し、インシデントの発生経過を時間順に再構成する分析手法。攻撃者の侵入経路や行動パターンの特定に用いる。

ネットワーク上を流れる通信データ（パケット）を収集・保全・分析し、不正通信やデータ漏洩の証拠を特定するフォレンジック手法。パケットキャプチャツールやフロー分析を用いて、攻撃の通信経路、データ流出先、C&C通信の特定などを行う。