'SECURITY/FORENSICS' 카테고리의 글 목록

linux 에서 생성한 메모리 덤프 파일을 volatility 로 분석하기 :: profile 만들기, KASLR

SECURITY/FORENSICS 2020. 12. 26. 18:00

이 글은 volatility 로 linux 파일 분석 시도 - linux 프로파일 만들기 - 그럼에도 생기는 문제[KASLR] 를 소개하며 해결하는 순서로 이루어진다. volatility 로 메모리 덤프 파일을 분석하려면 해당 메모리 덤프 파일의 운영체제에 대한 프로파일이 있어야 한다. volatility 에는 기본적으로 windows 에 대한 프로파일이 포함되어 있고, windows 에 사용할 수 있는 플러그인들이 많기 때문에 기본적으로 메모리 덤프 파일 분석을 위해서라면 windows 가 더 수월할 수 있다. 그런데 나는 VMware 에 만든 가상머신이 Ubuntu 라서 그냥 그 머신의 메모리 덤프를 땄고, 분석하려고 시도하였다. (그리고 매우 후회하였다) 해당 파일 이름은 file.vmem 이고 v..

vmware 를 활용하여 메모리 덤프파일 만드는 방법

SECURITY/FORENSICS 2020. 11. 3. 16:10

VMWare가 가지고 있는 위와 같은 주요 확장자 파일들 중 VMWare 소프트웨어에서 게스트 운영체제 상태로 가동 중인 시스템의 메모리 분석 대상은 .VMEM 확장자를 가진 파일이다. 게스트 운영체제에서 .VMEM 확장자 파일을 추출하기 위해서는 실행 중인 게스트 운영체제를 일시 중지 시켜 현재 메모리 상태를 저장해야 한다. 그러면 VMWare 에서는 별다른 작업 없더라도, 가상머신을 일시정지(suspend)하게되면 자동적으로 해당 머신이 위치한 폴더에 vmem파일이 생성된다. 이 파일을 바로 volatility 에서 열어서 분석할 수 있다. 지금부터 VMWare 로 Ubuntu 18.01 64bit 를 설치하고, 사용한 다음에 메모리 덤프 파일을 만드는 과정을 설명하겠다. (매우 간단하다) VMwar..

Volatility 설치 및 사용법 (Windows)

SECURITY/FORENSICS 2020. 11. 3. 16:10

1. Volatility 설치 Volatility 설치하는 방법에는 크게 두 가지가 있다. 1.1 vol.py 1.2 standalone 으로 설치 코드를 다운받아서 설정하거나, 실행파일을 다운해서 사용하는 방법이다. 1.2 가 설정하는 게 적어서 더 편리할 수 있지만,, 다양한 기능과 수정을 위해선 1.1 로 하는 것이 편리하다. (나도 1.2 로 했다가 불편해서 결국 1.1 로 설치하였다) 1.1 vol.py 코드로 다운받아서 설정. 1) Python 2.7.x 설치 Python 홈페이지에서 2.7.x 를 다운받아주면 된다. (www.python.org/downloads/release/python-2718/) 이때 Add pyton.exe to Path 를 설정해줘서 cmd 에서 바로 python 을..

메모리 덤프파일 분석 도구 :: Volatility, Redline

SECURITY/FORENSICS 2020. 11. 3. 16:10

1. Volatility : Python 으로 제작된 CLI 기반 메모리 분석 공개 소프트웨어. 현재 가장 많이 사용되고 있다. 오픈 소스 프로그램으로, 메모리 분석과 관련된 다양한 기능을 가진 플러그인(Plugin) 들이 개발 및 배포되고 있다. 자신이 직접 플러그인을 만들어서 사용 가능하고, 메모리 덤프 파일(img, raw, dmp 등), 하이버네이션 파일(hiber), 가상 머신 메모리(vmem) 를 분석할 수 있다. 트리 형태의 프로세스 리스트, 프로세스가 로드한 DLL과 핸들, 프로세스 환경변수와 Import, Export하는 함수, 네트워크 정보, 시스템에서 로드했던 드라이버 목록, 실행 중이거나 종료 또는 루트킷으로 은닉된 프로세스의 오프셋, SID(보안 식별자), PID, 스레드 수, 핸..

메모리 포렌식이란? :: 메모리 덤프 파일, 확장자 종류

SECURITY/FORENSICS 2020. 11. 3. 16:09

1. 메모리 포렌식이란? : 컴퓨터 하드웨어 중 주 기억장치(RAM)에 남아있는 데이터 흔적을 분석하는 기법이다. RAM 은 휘발성이 강하지만 프로세스 정보, 네트워크 연결 정보, 악성코드 파일 정보, 시스템 관련 데이터 구조, 사용자 활동 정보 등의 고유의 독특한 정보가 남아있다. (컴퓨터 시스템은 구조적으로 중앙처리장치(CPU, Central Processing Unit)에 의해 연산이 이루어지는데, 여기서 어떠한 소프트웨어라도 메모리인 RAM에 그 데이터와 코드가 적재되어야만 중앙처리장치에서 연산이 가능하기 때문) 따라서 메모리 포렌식의 주 목적은 악성코드와 관련있는 데이터를 추출하고, 어떻게, 어떤 이벤트가 발생했는지 등의 RAM 에 남아있는 악성코드 감염과 관련된 다양한 흔적을 분석하여 침해 사..

새볼륨 디스크 이미지 덤프

SECURITY/FORENSICS 2020. 10. 30. 15:56

FTK Imager 을 이용한 간단 디스크 이미지 분석

SECURITY/FORENSICS 2020. 10. 30. 12:14

원도우 10 을 UEFI 부팅이 가능하도록 설치하면 총 4개의 partition 이 생성된다. EFI system partition / Microsoft reserved partition / Recovery Partition / C drive (EFI 시스템 파티션 / MS 예약 파티션 / 복구 파티션 / C 드라이브) 그 파티션들을 디스크 이미지를 통해 확인할 수 있었다. 이제 각 파티션이 무엇을 의미하는지, 어떤 정보가 저장되어있는지 살펴보겠다. 1) EFI system partition (Extensible Firmware Interface / ESP) : data storage device 의 partition 으로, 컴퓨터 부팅 시 UEFI (Unified Extensible Firmware I..

FTK Imager 사용법 및 복원

SECURITY/FORENSICS 2020. 10. 29. 17:01

FTK Imager 을 이용해서 USB 드라이버의 디스크 이미지를 덤프하고, 해당 디스크 이미지를 분석해보도록 하겠다. 1. FTK Imager 간단 사용법 실습에 앞서 FTK Imager 의 대표적인, 유용한 기능들을 살펴보자. 우선, FTK Imager 실행 화면은 다음과 같다. 상단 아이콘에서 다양한 기능을 지원하는 것을 확인할 수 있는데, 메모리 캡쳐, 암호화된 파일 여부를 확인할 수 있는 기능을 선택할 수 있다. 또한 메뉴 바의 File 에서 여러 기능을 선택할 수도 있는데, 상단 아이콘에는 이 기능들이 들어가있는 것이다. 따라서 편의에 따라 사용하면 되고, 대표적인 기능을 몇 가지 살펴보자. 1.1 Add Evidence Item 말 그대로 증거 자료를 Evidence Tree 에 추가하는 과..

ABOUT ME

🏰 🏰

티스토리툴바