메모리 덤프파일 분석 도구 :: Volatility, Redline

1. Volatility

: Python 으로 제작된 CLI 기반 메모리 분석 공개 소프트웨어.

현재 가장 많이 사용되고 있다.

오픈 소스 프로그램으로, 메모리 분석과 관련된 다양한 기능을 가진 플러그인(Plugin) 들이 개발 및 배포되고 있다.

 

자신이 직접 플러그인을 만들어서 사용 가능하고, 메모리 덤프 파일(img, raw, dmp 등), 하이버네이션 파일(hiber), 가상 머신 메모리(vmem) 를 분석할 수 있다.

 

트리 형태의 프로세스 리스트, 프로세스가 로드한 DLL과 핸들, 프로세스 환경변수와 Import, Export하는 함수, 네트워크 정보, 시스템에서 로드했던 드라이버 목록, 실행 중이거나 종료 또는 루트킷으로 은닉된 프로세스의 오프셋, SID(보안 식별자), PID, 스레드 수, 핸들 수, 시작 및 종료시간 등을 획득할 수 있다.

 

 

2. Redline

: Windows GUI 기반의 메모리 분석 공개 소프트웨어.

 

 

GUI 기반으로 사용이 비교적 간단하며, 다른 공개 메모리 분석 소프트웨어에 비해 비교적 속도가 빠르다.

프로세스 정보, 파일 시스템 메타데이터, 이벤트, 네트워크, 웹 히스토리 정보 등을 확인할 수 있다.

 

 

 

3. DumpIt.exe

DumpIt.exe는 2007년 마티유 시우슈가 개발한 Win(32/64)dd.exe를 응용하여 제작된 공개용 소프트웨어로,

가장 큰 장점으로는 32비트 및 64비트 운영체제 버전에 상관 없이 메모리 덤프 파일을 생성 할 수 있다는 것이다.

 

그리고 메모리 덤프 파일 생성을 위해 특정 인자 값 입력 없이 dumpit.exe 실행만으로 해당 소프트웨어가 존재하는 동일 경로에 메모리 덤프 파일을 생성하는 것이 장점이다.

 

 

 

 

Ref.

[1] https://moaimoai.tistory.com/198 [모아이석상의 컴퓨터 이야기]

[2] www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=22109

.