1주차 과제

메모리 포렌식, 윈도우 운영체제 기초 지식, 볼라틸리티, 악성코드 분석 기초, 악성코드 주요 활동 등등..을 해보려고 한다..!

볼라틸리티 1학년때 쓸때 어려웠던 기억이^ㅡ^...

 

디지털 포렌식이란?

디지털 데이터를 근거로 삼아 기기를 매개체로 해 행위의 사실 관계를 법정에서 규명하기 위한 절차와 방법

 

디지털 포렌식의 5가지 요소

무결성: 증거의 변화가 있으면 안된다.

진정성: 수집과정을 녹화한 영상등으로 부여

동일성: 원본과 동일함을 증명

신뢰성: 도구나 방법이 믿을만한 방법이어야 함

정당성: 적법절차에 의한 수집이 필요

 

메모리 포렌식이란?

주기억장치(램, 메모리)에 존재하는 휘발성 데이터를 덤프 분석

 

왜 중요할까 → 물리 메모리에 존재하는 모든 흔적(악성코드 파일 정보, 프로세스 정보, 네트워크 연결 정보 등등)을 알 수 있음

 

폰 노이만식 구조

: cpu ↔ ram ↔ HDD 간의 연결

 

 

메모리 포렌식의 장단점

장점: 메모리는 시스템이 활성화 되어있는 동안 시스템 런타임 상태의 중요 정보를 포함, 언패티.루트킷탐지.리버스 엔지니어링 등에 도움

단점: 휘발성 데이터로 전원 차단 시 데이터가 사라짐, 온전한 데이터 수집 어려움(데이터 수집이 까다롭다..)

 

메모리 덤프란?

물리 메모리에 존재하는 모든 흔적을 확인할 수 있다.

볼라틸리티로 하는것

방식이 두개 존재(하드웨어, 소프트웨어)

하드웨어 방식	tribble: PCI 장치를 이용한 덤프 FireWire Attack: FireWire(IEEE1394)를 이용한 덤프 크래시 발생하거나 접근할 수 있는게 한정적이다
소프트웨어 방식	Win32/64dd Memorize FastDump Pro 크래시 덤프(Windows) 절전 덤프 HDD에서 램으로 올린걸 하게 되는건데 결국에 win32로 덤프를 뜬다하면 램에 올라가서 데이터를 덮게 될 수도 있다

 

 

 

 먼저 운영체제에 대해 정리하고..

 

운영체제란?

시스템 하드웨어를 관리하고 응용 소프트웨어를 실행하기 위해 하드웨어 추상화 플랫폼과 공통시스템 서비스를 제공하는 시스템 소프트웨어

 

윈도우 아키텍쳐는 유저모드와 커널모드를 나누어 존재

커널모드에는 실행부 서비스가 존재하며 exe파일은 PE구조로 되어있다.

 

 

PE(Portable Executable)파일이란?

파일이 이식 가능한 다른 곳에 옮겨져도 실행 가능하도록 만든 포맷

 

PE 구조 생성 원리

Source.h 파일을 compile(모든 헤더 파일과 소스 파일을 합쳐 하나의 기계어 코드 생성)

Source.obj를 Link(DLL, 리소스 데이터, Import, Export 데이블을 처리할 수 있는 정보를 윈도우에 약속된 규약에 맞춰 기입)

실행 파일 로딩 시 PE Header정보를 토대로 DLL을 로드, 메모리에 적재될 각종 리소스 할당

Binary.exe 생성

 

 

헤더 전체 구조

- IMAGE_DOS_HEADER

- IMAGE_NT_HEADER

- IMAGE_FILE_HEADER

등등 있는데 이거 리버싱 핵심원리 스터디 할 때 공부했어서..!!

https://yenas0.tistory.com/239

13. PE File Format

여기에 자세히 정리 해뒀다.