tmxklab
[Volatility] 서비스 조사 본문
svcscan 플러그인
- 서비스 조사
- 서비스와 해당 서비스의 이름, 유형, 시작 유형과 같은 정보 나열
vol_2.6.exe -f <메모리 이미지 파일> --profile=<프로파일 명> svcscan
추가로 -v옵션을 주면 DLL로 구현된 서비스의 전체 경로를 표시할 수 있다.
하지만 지속 메커니즘 중에 새로운 서비스를 생성하지 않고 기존의 정상적인 서비스를 수정하여 목표를 달성할 수 있다. BlackEnergy 드로퍼의 예로 실행 시 system32\\drivers 디렉터리에 있는 aliide.sys라는 정상 드라이버를 악의적인 aliide.sys 드라이버로 대체하고 aliide서비스와 관련된 레지스트리 항목을 수정하고 마지막으로 자동시작되도록 설정한다.
악성코드 지속메커니즘
일반적으로 공격자는 윈도우가 재부팅되더라도 악성코드가 계속 실행되기를 바란다. 이러한 지속성을 유지하기 위해 윈도우가 시작될 때마다 악성코드를 실행할 수 있는 다양한 방법이 존재한
rninche01.tistory.com
이러한 경우 탐지하기가 까다롭다.(정상적인 서비스를 이용하기 때문에 놓칠 수 있음)
따라서, 악성코드가 실행되기 전의 깨끗한 메모리 이미지에서 모든 서비스 목록을 유지하고 비교하면서 의심스러운 목록을 찾아야 한다.
'Security > Volatility' 카테고리의 다른 글
| [Volatility] Code Injection 탐지 (0) | 2021.04.28 |
|---|---|
| [Volatility] 명령어 히스토리 조사 (0) | 2021.04.28 |
| [Volatility] 레지스트리 조사 (0) | 2021.04.28 |
| [Volatility] 네트워크 및 소켓 조사 (0) | 2021.04.28 |
| [Volatility] DLL 조사 (0) | 2021.04.28 |
'Security/Volatility' Related Articles
more
Comments