도구 설치, 실습 환경 설정

섹션 2. 침해사고 대응기법 -> 메모리 포렌식

메모리 : 프로그램이 올라갈 수 있는 공간

​

실습 도구

Volatility

windows terminal

시스템 환경변수 설정

​

문제 다운로드

1) volatility wiki - memory samples

2) ctf - d crrcon 2015

​

실습 전 환경 설정

1. volatility 다운로드 후 시스템 환경변수 설정 -> 환경변수 편집

​

시스템 속성 -> 환경 변수

 

환경 변수 ->path 편집

 

새로 만들기 -> volatility 파일 경로 붙여넣기

​

시스템 환경변수 편집이 필요한 이유

/ 설정을 완료해야만 윈도우즈 터미널에서 바로 접근할 수 있음

​

2. 윈도우즈 터미널

​

파일 경로 확인 가능

 

시스템 환경변수에 등록하였으므로 어느 경로에 있든 접근 가능함

 

imageinfo 명령어 suggested profile 참고

 

volatility -f <이미지> imageinfo

메모리 덤프를 보고 어떤 운영체제의 메모리 덤프인지 확인하는 명령어

어떤 운영체제인지를 아는 것은 모든 분석의 기초가 됨

​

pslist 명령어

 

해당 내용이 너무 길때는 pslist > pslist.log와 같은 형식으로 따로 저장하면 편함

+)pslist의 내용이 화살표를 타고 pslist.log에 저장됨

notepad ++ 에서 해당 로그파일을 열면 프로세스들의 리스트를 확인 가능함

 

pslist / 시간 순서대로 출력

psscan / offset 순서대로. 주소 순으로 출력. (숨긴 프로세스를 볼 수 있음!)

pstree / 프로세스의 pid ppid를 기준으로 구조화되어 출력

psxview / 7가지 도구를 결합해놓았으며 pslist와 psscan을 한번에 확인할 수 있음

pslist /&nbsp; 한줄 한줄은 각각 실행되었던 혹은 실행되고 있던 프로세스를 의미함

 

psscan

 

pstree

+) 트리에서 확인 가능한 svchost는 해커들이 자주 위장하는 이름으로써 한번쯤 의심해보길

psxview

 

​