tmxklab

이제 수집한 메모리 이미지를 volatility라는 도구를 사용해서 분석해보자 다운로드 : Volatility 2.6 Release Volatility 2.6 - an advanced memory forensics framework www.volatilityfoundation.org volatility는 파이썬으로 작성된 메모리 포렌식 프레임워크이며 Window, mac, linux에서도 실행할 수 있다. 독립 실행 파일(standalone executable)을 사용하면 파이썬 2.7인터프리터와 의존성이 함께 묶여있기 때문에 따로 파이썬 인터프리터를 설치하거나 의존성을 고려하지 않고 빠르게 실행할 수 있다. volatility option : C:\Users\sec\Desktop\forensic_too..

이제 메모리를 덤프하는 방법을 알아보자 메모리를 수집할 수 있는 다양한 도구가 있지만 여기서는 DumpIt이라는 툴을 사용해서 메모리를 덤프한다. (DumpIt은 Comae memory toolkit의 한 부분으로 최신 버전을 다운받으려면 comae.com에 들어가서 계정 생성 후, Comae memory toolkit을 받으면 된다는데 귀찮다.. 그냥 아래 링크에서 다운받자) Crypt2Shell/Comae-Toolkit Memory Dump. Contribute to Crypt2Shell/Comae-Toolkit development by creating an account on GitHub. github.com DumpIt은 32bit(x86), 64bit(x64) 시스템에서 사용 가능하고 기본적으..

주 기억장치 사용자가 원하는 작업을 처리하기 위한 데이터 및 처리결과 등을 기억하며 휘발성이라는 특징을 가짐 메모리 가용공간이 부족할 때 페이지 파일을 사용하여 보조 기억장치를 빌려 사용 -> 가상 메모리 대부분의 작업이 메모리를 거치기 때문에 메모리를 획득하면 거의 모든 데이터 확보 가능 메모리 포렌식 활성화된 이유) ① 악성코드 PE 헤더를 구하기 위해 메모리 확보 중요 ② 악성코드 감염 및 실행 시 잘 나타내는 것은 메모리이므로 메모리 확보 중요 ③ 암호화 전송 및 암호화된 데이터는 메모리를 제외하면 확보하기 어려움 ④ 안티 포렌식 기술의 발전으로 보조 기억장치 흔적 외 추가 분석 요소 필요성 증가 +) 결론은 메모리 확보를 하면 해당 시점을 잘 나타내므로 메모리 확보 중요 +) 사고발생 이후에 분..

비활성 데이터 시스템이 꺼져 있어도 수집할 수 있는 데이터로 하드에 저장된 형태 활성 데이터는 라이브 포렌식에서만 획득 가능, 비활성 데이터는 라이브 포렌식/디스크 포렌식에서 획득 가능 1) 비활성 데이터 수집 고려사항 레지스트리 파일은 포렌식 분석할 때 무조건 수집해야 하는 파일이다. 하지만 라이브 상태에서 레지스트리는 운영체제가 점유하고 있는 파일이라 복사를 하지 못하게 된다. 따라서 운영체제보다 낮은 레벨은 파일 시스템(파일 시스템이 있어야 운영체제가 올라갈 수 있음)이므로 클라이언트가 물리레벨 첫 번째에 직접 접근할 수 있다. 이제 레지스트리의 위치만 알면 직접 찾아가서 복사하면 가능하다.(FTK Imager에서도 파일시스템 접근 가능) +) FTK Imager는 이미징하는 목적의 툴, 값이 싸서..

라이브 포렌식 시스템이 켜져있는 동안 얻을 수 있는 모든 데이터를 획득하는 것을 의미함 1) 라이브 포렌식 효과 현재 진행되고 있는 사건 및 사고에 대해 많은 데이터 획득 및 확인 가능 2) 라이브 포렌식 고려사항 악성코드 및 해커가 현재 동작하고 있는 데이터를 변조한 경우 신뢰성 야기 만일 포렌식할 대상이 해커에 의해 모니터링 당하거나 감염되어 있으면 데이터가 변조당할 경구 존재 대부분 기업들은 돈을 아끼기 위해 해킹을 당했을 때 먼저 분석을 하고 나서 의뢰를 하기 때문에 이미 확인할 때는 덮어씌워져있는 경우가 있어 라이브포렌식을 할 경우가 거의 없음 활성 데이터 종류 - 실행 중인 프로세스 - 연결 중인 네트워크 - 현재 로그인 중인 사용자 - 현재 시스템 리소스 상황 - 현재 전송 중인 패킷 - 클..

포렌식 & 디지털 포렌식 ① 포렌식(Forensics) 법의학이란 의미로 법정에서 사용되는 증거 수집 및 분석을 의미함 법률적으로 중요한 사실 관계를 연구하고 해석하며 감정하는 학문 ② 디지털 포렌식(Digital Forensics) 디지털 기기를 매개체로 하여 발생한 특정 행위의 사실 관계를 법정에서 규명하고 증명하기 위한 절차와 방법 따라서, 법정에서 규명하기 위해 디지털 데이터의 증거 능력 고려 아날로그 증거와 달리 디지털 데이터는 쉽게 복제 가능하기에 검증된 절차와 방법 등이 요구됨 (쉽게 설명하면) 용의자를 특정하여 증거물로 사법기관에 제출하기 위해 디지털 포렌식을 통해 데이터 수집 따라서, 포렌식과 디지털 포렌식은 증거 수집하고자 하는 대상에서 차이가 발생한다.(디지털 포렌식은 대상이 데이터)..