메모리 분석 썸네일형 리스트형 Honeynet Project Challenge 3 풀이 보고서 드디어 길고 긴 풀이가 끝났네요. 예전에 한번 분석하다가 모르는 부분이 많아 실패 했던 적이 있었는데 다시 공부해서 이번에는 성공 했습니다 ^^ 그런데 왜 doc 파일은 pdf로 출력하면 이렇게 되는건지 참.. ㅠㅠ 아 참고로 메모리 분석에 관한 문제였습니다. 더보기 Memory Analysis (8) * 여기서 사용하는 메모리 덤프는 2008 DRFWS RODEO에 나온 실습용 이미지(http://www.dfrws.org/2008/dfrws2008-rodeo.tar.gz)로 할 것이다. 이번에는 드디어 메모리 분석을 알아 볼 차례이다. 메모리 분석 툴은 요즘 너무 잘 나온 것들이 많아서 일반적으로 사용되는 Volitility와 Mandiant에서 만든 redline에 대해서 소개 할 것이다. 두 도구 모두 공개용 소프트웨어이기 때문에 더할나위 없이 좋다. 예전부터 메모리 분석은 조금씩 현장조사에서 사용되었지만 그 빈도나 성과물이 적어 빛을 발하지 못하였다. 가끔 메모리 덤프에서 string을 검색하여(만약 있다면) 사용자 아이디와 패스워드를 얻는 정도였다. 일단 Volatility를 알아보자. [Vo.. 더보기 Memory Analysis (6) 메모리 분석에서 가장 중요한 기초지식인 메모리 구조에 대해서 알아볼 것이다. 원래는 처음부터 다뤘어야 하는 부분이지만, 내가 보는 책의 순서가 이러한 점도 있고 또 앞의 내용들과는 깊이 관련되지 않은 내용이기 때문에 지금 다루게 되었다. 특히 이번에 알아 볼 것은 가상 메모리의 구조이다. 가상메모리가 무엇인지 일단 알아야 하기 때문에 아래에 정의를 적어두었다. [가상메모리 정의] 가상메모리란 물리적인 실체를 가지고 있지 않은 메모리를 말하며, OS가 만들어낸 논리적인 형태의 메모리를 뜻한다. 가상 메모리에 저장된 데이터라고 해서 가상으로 저장할 수는 없으며, 가상 메모리의 데이터는 물리메모리나 하드 드라이브에 저장된다. 가상 메모리는 VAS라는 것을 OS로부터 할당받는다. * VAS(Virtual Add.. 더보기 Memory Analysis (5) 이번에는 마지막 방법인 하이버네이션에 대해 알아보겠다. [Hibernation 정의] 시스템에 일정시간이 지나도 아무런 입력이 없을 때 OS가 모든 메모리 데이터를 하드 드라이브에 기록하고 시스템 구동에 필요한 최소전원공급만을 남겨둔 채 필요 없는 전원을 차단하는 기능이다. 이 기능의 목적은 효율적인 전원 관리이다. 정의를 읽어보면 우리가 알고 있는 컴퓨터의 Sleep mode과 많이 유사하다는 것을 알 수 있다. 하지만, 이 두 기능은 분명한 차이가 있는데 그 차이는 다음과 같이 설명 할 수 있다. [슬립기능과 하이버네이션의 차이] 1. Sleep mode - 해당 기능은 메모리의 데이터가 손실되지 않도록 계속 전원을 공급하는 방식이다. 2. 하이버네이션 - 해당 기능은 메모리의 데이터를 하드 드라이브.. 더보기 Memory Analysis (3) 이번에는 메모리 덤프 방법 중 소프트웨어를 이용한 덤프 방법을 알아볼 것이다. 종류를 알아보기 전 소프트웨어를 이용한 메모리 덤프의 장단점을 알아보자. [소프트웨어를 이용한 메모리 덤프의 장단점] 1. 장점 - 메모리 덤프를 하기 위해 추가적인 장비가 필요하지 않음. - 상용 도구와 크게 다르지 않은 성능을 가지고 있는 공개 도구들이 있음. - 상용 제품들은 원격에 있는 컴퓨터에서도 메모리 덤프를 수집할 수 있음. 2. 단점 - 커널 레벨 루트킷과 악성 프로그램에 매우 취약함. - OS의 종류와 버전에 따라 사용할 수 있느 도구에 제약을 받음. - 수집하는 메모리에 자신의 흔적을 남김. 위의 내용에서 보았듯이 소프트웨어를 이용한 메모리 덤프에도 장단점이 존재한다. 하드웨어를 이용한 메모리 덤프는 얻어지는.. 더보기 이전 1 2 다음
