[Volatility] 네트워크 및 소켓 조사

대부분 악성코드는 추가적으로 컴포넌트를 다운로드하거나 명령을 전달받거나 등등 네트워크 활동을 진행한다. 이러한 네트워크 활동을 조사함으로써 악성코드의 네트워크 활동을 파악하고 실행 중인 프로세스와 네트워크에서 탐지한 활동을 연관시켜 유의미한 결과를 얻을 수 있다. 

 

1. connections 플러그인

• 이전 비스타 시스템(Windows XP, 2003)에서 활성 네트워크 연결 파악
• pslist 방식

vol_2.6.exe -f <메모리 이미지 파일> --profile=<프로파일 명> connections

 

---

2. connscan 플러그인

• 이전 비스타 시스템(Windows XP, 2003)에서 활성 네트워크 연결 파악
• 풀 태그 스캐닝 방식을 사용해 연결을 파악 -> 종료된 연결까지 파악 가능하다.

vol_2.6.exe -f <메모리 이미지 파일> --profile=<프로파일 명> connscan

 

---

3. netscan 플러그인

• 비스타와 그 이후 시스템(Windows 7 등)에서 활성 네트워크 연결 파악
• 네트워크 연결 스캔 후 출력(패턴매칭-물리조사)

vol_2.6.exe -f <메모리 이미지 파일> --profile=<프로파일 명> netscan

-> XP는 지원안해줘서 오류 뜸

 

---

4. sockets, sockscan 플러그인

• 열린 소켓과 관련 프로세스 정보 파악
• sockcan플러그인은 풀 태그 스캐닝 방법을 사용
• sockets로 열린 소켓 목록 출력한 뒤 sockscan을 사용

vol_2.6.exe -f <메모리 이미지 파일> --profile=<프로파일 명> sockets
vol_2.6.exe -f <메모리 이미지 파일> --profile=<프로파일 명> sockscan