http://www.dfrws.org/2005/proceedings/index.html
DFRWS 2005の資料とメモリデータ解析の結果が出てます。自分のをまとめておこうと思って結局DEFCON準備で提出できなかった。行った手順と分かっていたところは以下のような感じでした。後出しだけど解答と見比べるともう少しだったなぁ（笑）勉強し直しとこ。　kntlistは最近は公開されていないのかな。

・Stringsの結果からexeで検索
・c:\winnt\system32\dfrws2005.exeという怪しい実行ファイルを確認
・HackerDefenderのiniファイルっぽい記述が見られた。dfrws2005.ini？
・BackOrifficeという文字列もどこかで見た。

• DFRWS2005 Forensic Challenge Results
  http://www.dfrws.org/2005/challenge/challengeresults.html

• kntlist
  http://users.erols.com/gmgarner/kntlist/