모해요

volatility? : 메모리 포렌식 도구, 오픈소스, CLI 인터페이스(계속 키보드로 명령어 입력했던 방식) cf.마우스로 클릭? => GUI 인터페이스 버전 3까지 공개되어 있으나, 아직까지는 2를 많이 사용(안정성 이슈, 구할 수 있는 자료가 버전 2에서 좀더 많아서 사용하기 편리) volatility에서 증거를 획득할수 있는 이유 프로세스가 마음대로 사용하는 공간이 메모리. 규칙적으로 사용하기도 하고 불규칙적인 구조로 사용하기도 함. 규칙적인 구조체가 메모리내에 존재할경우 volatility가 그 부분을 잘라서 가져옴. 하지만 그래도 volatility가 모든내용을 다 가져 올 수는 없음. volatility로 획득할수 있는 정보는 전문가마다 천차만별. 잘하는 사람은 더 많은 정보를 얻어내기도 ..

https://github.com/proneer/Slides/blob/master/Fundamentals/(FP)%20%EB%A9%94%EB%AA%A8%EB%A6%AC%20%ED%8F%AC%EB%A0%8C%EC%8B%9D%20(Memory%20Forensics).pdf GitHub - proneer/Slides: Slides Slides. Contribute to proneer/Slides development by creating an account on GitHub. github.com 물리 메모리의 이해 메모리 포렌식 목적 -프로세스의 행위 탐지 -네트워크 연결 정보 -사용자 행위 -복호화, 언패킹, 디코딩된 데이터 -패스워드와 암호 키 획득 메모리 포렌식의 대상 -물리메모리 -페이지 파일 -하이버..

2주차에는 메모리 포렌식 강의를 진행하였다. 먼저 volatility를 설치했다. volatility는 메모리관련한 데이터를 수집하는 도구이다. volatility cridex 풀이를 진행하여 보겠다. 제일 먼저 cridex 파일에서 cridex.vmem 파일을 imageinfo 한다. imageinfo란 메모리의 운영체제를 식별하는 것이다. 즉 메모리 덤프를 보고 volatiility가 "이건 어떤 운영체제의 메모리 덤프다"를 판단하는 것이다. imageinfo가 필요한 이유는 어떤 운영체제인지에 대한 값이 앞으로의 모든 분석에서 사용될 것이기 때문에 모든 분석에 앞서 imageinfo를 통해 꼭 어떤 운영체제의 메모리인지 찾아야 한다. 그 다음으로 pslist, psscan, pstree, psxvi..