昔、インシデント調査で有用なツールを教えてもらったことがあるので、時間を見つけて残していきたい。
第3段はapateDNS
※apateとは、ギリシャ語で「偽装」の意
■特徴
・DNSレスポンスとして応答される接続先IPアドレスを、任意のIPアドレスに偽装できる。
・実行には管理者権限が必要。
・インシデント調査の観点でいうと、ツールの利用に際してネットワークのリンクアップが必要になるので要注意。
■主な利用方法
・不正な外部URLへの通信発生の有無の確認。
・Process Hackerを組み合わせることで、通信元プロセスの特定が可能
■画面レイアウト
■apateDNSの動き概要
・apateDNSとProcess Hackerを併用することで、通信プロセスの特定が可能に(!?)
■入手
https://www.fireeye.com/services/freeware/apatedns.html
バックアップ(ver1.0)はこちら