SECURITY/FORENSICS

vmware λ₯Ό ν™œμš©ν•˜μ—¬ λ©”λͺ¨λ¦¬ λ€ν”„νŒŒμΌ λ§Œλ“œλŠ” 방법

\b\t 2020. 11. 3. 16:10

VMWareκ°€ 가지고 μžˆλŠ” μœ„μ™€ 같은 μ£Όμš” ν™•μž₯자 νŒŒμΌλ“€ 쀑 VMWare μ†Œν”„νŠΈμ›¨μ–΄μ—μ„œ 게슀트 운영체제 μƒνƒœλ‘œ 가동 쀑인 μ‹œμŠ€ν…œμ˜ λ©”λͺ¨λ¦¬ 뢄석 λŒ€μƒμ€ .VMEM ν™•μž₯자λ₯Ό 가진 νŒŒμΌμ΄λ‹€.

게슀트 μš΄μ˜μ²΄μ œμ—μ„œ .VMEM ν™•μž₯자 νŒŒμΌμ„ μΆ”μΆœν•˜κΈ° μœ„ν•΄μ„œλŠ” μ‹€ν–‰ 쀑인 게슀트 운영체제λ₯Ό μΌμ‹œ 쀑지 μ‹œμΌœ ν˜„μž¬ λ©”λͺ¨λ¦¬ μƒνƒœλ₯Ό μ €μž₯ν•΄μ•Ό ν•œλ‹€.

 

그러면 VMWare μ—μ„œλŠ” 별닀λ₯Έ μž‘μ—… 없더라도, 가상머신을 μΌμ‹œμ •μ§€(suspend)ν•˜κ²Œλ˜λ©΄ μžλ™μ μœΌλ‘œ ν•΄λ‹Ή 머신이 μœ„μΉ˜ν•œ 폴더에 vmem파일이 μƒμ„±λœλ‹€.

 

이 νŒŒμΌμ„ λ°”λ‘œ volatility μ—μ„œ μ—΄μ–΄μ„œ 뢄석할 수 μžˆλ‹€.

 

μ§€κΈˆλΆ€ν„° VMWare 둜 Ubuntu 18.01 64bit λ₯Ό μ„€μΉ˜ν•˜κ³ , μ‚¬μš©ν•œ λ‹€μŒμ— λ©”λͺ¨λ¦¬ 덀프 νŒŒμΌμ„ λ§Œλ“œλŠ” 과정을 μ„€λͺ…ν•˜κ² λ‹€.

(맀우 κ°„λ‹¨ν•˜λ‹€)

 

VMware 둜 Ubuntu μ„€μΉ˜ 방법은 λ‹€μŒμ˜ 두 ν¬μŠ€νŒ…μ„ μ°Έκ³ ν•˜μž.

2020/07/09 - [SECURITY/REVERSING] - REVERSING μ‹œμž‘ν•˜κΈ° - VMware & Ubuntu Linux 32 bit and 64 bit μ„€μΉ˜ν•˜κΈ°

2020/09/03 - [SECURITY/REVERSING] - 가상 λ¨Έμ‹  - virtualBOX μ„€μΉ˜ 및 μ„€μ •

 

 

1) 가상 머신을 마음껏 μ‚¬μš©ν•œ λ’€, suspend (쀑지) 

(상단 μ•„μ΄μ½˜ 클릭 ν˜Ήμ€ 상단메뉴 VM -> Power -> suspend ν˜Ήμ€ Ctrl + Z)

 

 

2) 가상 λ¨Έμ‹  폴더에 μ ‘κ·Ό, .vmem 파일 확인

(μ²˜μŒμ— 가상 머신을 λ§Œλ“€ λ•Œ μ„€μ •ν•œ 경둜둜 λ“€μ–΄κ°€λ©΄ λœλ‹€. λ””ν΄νŠΈ 섀정은 user/Documents/Virtual Machines/ 이닀.)

 

이 vmem 파일이 λ©”λͺ¨λ¦¬ 덀프 νŒŒμΌμ΄λ‹€. 

 

이게 끝이닀.

 

μ΄λ ‡κ²Œ VMware 을 μ΄μš©ν•˜λ©΄ μ‰½κ²Œ λ©”λͺ¨λ¦¬ 덀프 νŒŒμΌμ„ 얻을 수 μžˆλ‹€.

 

 

μ°Έκ³ )

만일 virtualBOX μ—μ„œ λ©”λͺ¨λ¦¬ 덀프 νŒŒμΌμ„ μƒμ„±ν•˜κ³  μ‹Άλ‹€λ©΄, 

cpuu.postype.com/post/727459

이 ν¬μŠ€νŒ…μ„ μ°Έμ‘°ν•˜λ©΄ 될 것이닀.

 

 

Ref. 

[1] www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=22109

.