반응형 메모리 분석2 Volatility를 활용한 메모리 분석/포렌식 이번 포스팅에서는 Volatility를 활용한 메모리 덤프 이미지 분석 및 포렌식 방법에 대해서 다루겠습니다. 자주 사용되는 기본 옵션 사용법들을 나열하였으며, 자세한 사용법은 volatility 공식 메뉴얼을 참고하시기 바랍니다. 1. 메모리 이미지 정보 확인 volatility imageinfo -f [메모리 이미지] 메모리 이미지의 정보를 출력한다. PAE : 물리 주소 확장 여부 (32bit OS에서 64GB의 물리 메모리까지 접근할 수 있도록 한다.) KPCR (Kernel Processor Control Region): IDT,GDT 등의 기본 정보와 HAL 같은 다른 모듈과 공유하는 인터럽트 컨트롤러 상태를 담고 있다. 2. 프로세스 정보 출력 volatility pslist -f [메모리 .. 2024. 3. 15. LiME: 리눅스 및 안드로이드 메모리 획득 도구 이 글은 LiME의 메뉴얼 내용을 토대로 설치방법부터 사용방법까지 정리한 글로, 실제 운용 환경에는 맞지 않을 수 있으니 LiME 공식 개발 페이지의 가이드를 참고하시기 바랍니다. 1. LiME이란? LiME(과거 명칭 DMD)은 안드로이드 기반 장치를 포함한 리눅스 시스템의 휘발성 메모리 취득을 가능하게 하는 Loadable Kernel Module (LKM)입니다. 이 도구는 장치의 파일 시스템이나 네트워크를 통해 메모리를 획득할 수 있는 기능을 지원합니다. LiME은 안드로이드 장치로부터 전체 메모리 캡처를 할 수 있는 최초의 도구로서, 취득 과정에서 사용자 공간과 커널 공간 프로세스 간의 상호작용을 최소화함으로써 다른 리눅스 메모리 취득 도구들보다 더 포렌식적으로 안정된 메모리 덤프를 생성합니다... 2024. 3. 11. 이전 1 다음 반응형
