반응형 악성코드 포렌식2 Volatility를 활용한 메모리 분석/포렌식 이번 포스팅에서는 Volatility를 활용한 메모리 덤프 이미지 분석 및 포렌식 방법에 대해서 다루겠습니다. 자주 사용되는 기본 옵션 사용법들을 나열하였으며, 자세한 사용법은 volatility 공식 메뉴얼을 참고하시기 바랍니다. 1. 메모리 이미지 정보 확인 volatility imageinfo -f [메모리 이미지] 메모리 이미지의 정보를 출력한다. PAE : 물리 주소 확장 여부 (32bit OS에서 64GB의 물리 메모리까지 접근할 수 있도록 한다.) KPCR (Kernel Processor Control Region): IDT,GDT 등의 기본 정보와 HAL 같은 다른 모듈과 공유하는 인터럽트 컨트롤러 상태를 담고 있다. 2. 프로세스 정보 출력 volatility pslist -f [메모리 .. 2024. 3. 15. 디지털 포렌식 분석: 증거 수집 및 분석 디지털 포렌식 분야에서 악성 코드 관련 조사는 변동성 데이터의 포렌식 보존에 크게 의존합니다. 용의자의 컴퓨터를 작동시키면 시스템이 변경될 수 있기 때문에, 시스템에 가해지는 변경을 최소화하고, 가장 변동성이 높은 데이터부터 수집하며(변동성 순서라고 함), 취해진 모든 조치를 철저히 문서화해야 합니다. 이러한 접근 방법은 RFC 3227: 증거 수집 및 보관을 위한 지침에 자세히 설명되어 있습니다. 기술적으로, 악성코드 사건에 대응하여 활성 시스템에서 수집된 정보 중 일부는 비휘발성입니다. 아래의 하위 범주는 활성 시스템에서 수집되는 정보의 상대적 중요성을 명확히 하기 위해 제공됩니다. 변동성 데이터와 비휘발성 데이터 1단계 변동성 데이터: 시스템이 어떻게 침해되었으며, 침해의 성격에 대한 통찰을 조사관.. 2024. 3. 11. 이전 1 다음 반응형
