* 여기서 사용하는 메모리 덤프는 2008 DRFWS RODEO에 나온 실습용 이미지(http://www.dfrws.org/2008/dfrws2008-rodeo.tar.gz)로 할 것이다.

이번에는 드디어 메모리 분석을 알아 볼 차례이다.

메모리 분석 툴은 요즘 너무 잘 나온 것들이 많아서 일반적으로 사용되는 Volitility와 Mandiant에서 만든 redline에 대해서 소개 할 것이다.

두 도구 모두 공개용 소프트웨어이기 때문에 더할나위 없이 좋다.

예전부터 메모리 분석은 조금씩 현장조사에서 사용되었지만 그 빈도나 성과물이 적어 빛을 발하지 못하였다.

가끔 메모리 덤프에서 string을 검색하여(만약 있다면) 사용자 아이디와 패스워드를 얻는 정도였다.

일단 Volatility를 알아보자.

[Volatility]
이 도구는 Volatile System, LLC에서 만든 메모리 분석툴로 다양한 기능과 플러그인을 제공하는 CLI 도구이며, 파이썬 기반으로 만들어졌다.
간단한 예를 몇가지 보자.
Volatility에서 프로세스 목록을 얻는 방법은 두가지가 있다. 하나는 pslist 옵션으로 얻는 방법과 psscan 옵션으로 얻는 방법이 있는데, 두 옵션에 결과는 덤프 이미지에 따라 다를 수 있다.
pslist의 경우 리스트워킹 방식을 사용하기 때문에 숨겨진 프로세를 찾지 못하는 반면, psscan 옵션은 패턴매칭 방식을 사용하여 숨겨진 프로세스까지 찾아준다.
속도면에서는 pslist가 더 빠르긴 하지만 결과물 면에서는 psscan이 더 좋다. 

[그림 1 - pslist 옵션 결과 화면]


 

[그림 2 - psscan 옵션 결과 화면]

이번에는 라이브 리스폰스에서도 네트워크 연결 정보이다. connections, connscan 옵션을 사용하면 정보를 얻을 수 있다.

[그림 3 - connections 옵션 결과 화면]

[그림 4 - connscan 옵션 결과 화면]

두 옵션의 결과가 다른 것을 볼 수 있는데 이는 connections 옵션이 제대로 실행이 되지 않았기 때문이다.

이유는 윈도우 보안패치라고 한다.

해당 도구는 여러가지 플러그인을 추가해서 쓸 수 있도록 되어 있고, 이 도구를 모듈로 또 다른 도구를 제작 할 수도 있다.

하지만 이 도구는 지원하는 메모리 덤프가 Win XP까지여서 이후 버전의 이미지는 분석하지 못한다

-------------------------------------------------------------------------------------------------------------
이 글에서 사용된 volatility 1.3 버전은 위에서 말한 것처럼 Win XP까지만 지원이 되고 

업데이트 버전인 2.0은 모든 윈도우 버전을 지원한다.(n0fate님 말씀 인용)


이번에는 Redline을 알아보자

[Redline]
이 도구는 Memoryze 도구의 업그레이드 버전으로 GUI 버전이다. .net 프레임워크를 기반으로 제작되었으며, 포터블 형식으로 폴더만 외장장치로 복사하여 다른 시스템에서 사용 할 수 있는 장점이 있다. 하지만 지원하지 못하는 이미지 버전등이 있어 아직 모든 시스템에 적용 할 수 있는 것은 아니며, 구동하려는 시스템에 .net이 없다면 구동이 되지 않아 memoryze를 사용해야 한다.
이 도구는 분석모드를 4가지(Quick, Standard, Full, Custom) 지원하고 있고 MRI core 리포트부터 여러가지 리포트를 보여주며, 프로세스 목록은 물론 핸들, 실행 명령어, 네트워크 연결정보, 후킹, 드라이버 목록 등의 정보를 보여준다.
해당 도구의 모든 것을 보여줄수는 없어서 몇가지 기능만 보여주겠다.
해당 도구는 무료 소프트웨어니 각자 테스트 해보는 것이 좋을 것이다. 

[그림 5 - 프로그램의 기본 분석이 끝나면 보여주는 MRI Core 리포트]

[그림 6 - 프로세스별 리포트]


프로세스별로 핸들, 네트워크 정보 등을 볼 수 있도록 되어 있어 편리하다.


지금 알아본 도구들 외에도 무료 소프트웨어들이 많다.

또 상용 프로그램들도 많으니 개인적으로 알아보길 바란다.

'[+] Forensic' 카테고리의 다른 글

Registry (2)  (0) 2012.01.02
Registry (1)  (0) 2012.01.02
Memory Analysis (8)  (3) 2011.12.28
Memory Analysis (7)  (0) 2011.12.28
Memory Analysis (6)  (0) 2011.12.26
  1. BlogIcon n0fate 2011.12.29 11:09

    아마 volatility 1.3을 사용하셔서 WinXP에만 제한 되신 것 같네요. 2.0 버전은 모든 윈도우버전을 지원할 겁니다 :-)

  2. 익명 2012.09.07 00:03

    비밀댓글입니다

+ Recent posts