Lucete

메모리 포렌식에 빠져서 요즘 공부하다가 volatility를 사용하는 도중 의문이 들었다. 의문이라기 보단 잘 보지 않아 생긴 문제이지만 ... 먼저 imageinfo 를 하여 메모리덤프의 프로파일을 확인 할수있다...여기서 의문이 들었는데 ........ 두둥 !!! BoB.vmem 파일의 프로파일은 windows XPSP2x86과 XPSP3x86 2개가 나온다... 물론 아는 사람도 있다. 어떻게 서비스팩을 찾아내는지... 눈이있다면 안다... 난 눈이없었다.그래서 명령어를 통해서 알아 봤다. 어떻게? dlllist | grep xpsp2

For3nsic/The Art of Memory Forensic 2017. 1. 10. 22:31

printkey 이 명령어는 레지스트리 키값을 보여준다. netscan이 명령어는 활성화된 네트워크 정보를 알려준다.(windows 7에서만 사용가능) connections명령어를 이용하여 네트워크를 검사한다.여기서 더 자세히 알기위해 밑의 명령어를 사용한다. connscan 이 명령어는 위의 명령어와 같지만 이미 끊어진 네트워크도 나타내 준다. ] yarascan이명령어는 yara를 이용하여 유니코드 등을 검색하여 준다.

For3nsic/The Art of Memory Forensic 2015. 11. 19. 23:13

kpcrscan이는 Finding Object Roots in Vista 에 묘사된 것처럼 자체참조 멤버들을 체크함으로써 잠재적 KPCR 구조들을 스캔하기 위하여 사용되는 명령어이다.IDT 와 GDT 주소, current,idle, 그리고 다음 쓰레드들, CPU 숫자, 벤더&속도, 그리고 CR3 값들을 포함하는 각각의 프로세서에 대한 자세한 세부 정보들에 대해 알아보기 위해 사용한다. 또한 이명령어를 사용하기 위해 profile이란 명령어를 사용해야하는데. profile 은 imageinfo명령어를 이용하여 알수있다. pslist이 명령어는 시스템의 프로세스들을 보여준다. PsActiveProcessHead 를 가리키는 이중연결리스트를 지나가며 오프셋, 프로세스 이름, 프로세스 ID, 부모 프로세스 ID..

For3nsic/The Art of Memory Forensic 2015. 11. 19. 22:41

Volatility의 사용법에 앞써 사용을 하기위해 명령어를 알아야한다.먼저 -h 옵션을 줌으로 명령어 들을 볼수 있다. 또한 값을 저장하기 위해서는 명령어다음 > filename.txtWindowns Mac \ Windows 와 Mac이랑 명령어가 비슷한 거 같다. 이하 Mac으로만 하겠슴... 여기서 모르는 명령어를 찾아보며 해보면 되겠고 먼저 imageinfo 명령어를 사용해보겠다. imageinfo명령어는 다른 플러그인을 사용할 때 --profile=PROFILE----을 파라미터로 해야하는 제안된 프로파일을 알려주는 명령어이다.명령어를 사용하기위해 파일을 넣어야하는데... 명령어 사용방법은 vol.py -f

For3nsic/The Art of Memory Forensic 2015. 11. 18. 19:33

요즘 MacBook을 사용하시는 하시는 분들이 많아서 일단 설치는 맥북위주로 하고 또한 사용법은 맥과 윈도우가 비슷 하므로 설명을 진행 하겠습니다.맥 같은 경우에는 윈도우와 다르게 터미널이라는 기능을 가지고 있어요!!! 터미널 리눅스에서 많이 사용하는건데 ... 이를 보면 맥이 유닉스나 리눅스 기반이라는 것을 알수 있을 껍니다.먼저 volatility를 설치하기위 해터미널을 열고 brew install volatility를 쳐주세요그럼 이러하게 다운 받는 것을 볼 수 있으실 껍니다.이렇게 다운 로드를 다받으시면 윈도우 사용자 분들은 CMD창에서 실행을 할껍니다. 어떻게 실행하냐 WINDOWS 이렇게 CMD창에서 실행시킵니다. 앞에 경로를 찾아가려니 힘들죠? 설치를 하고나시면 폴더있는데 그폴더에서 쉬프트(..

For3nsic/The Art of Memory Forensic 2015. 11. 18. 04:15

메모리 덤프 파일이란?메모리 내영이 가장 순수한 메모리 덤프파일을 시스템으로 부터 얻는 것을 말한다. 이를 얻기 위한 방법이 있다1 - 하드웨어를 이용하드웨어를 이용하면 메모리영역을 사용하지 않아 좀 더 정확한 메모리 덤프를 할수 있다. 뿐만 아니라 OS에 상관없이 사용 가능하다.- PCI장치- FireWire2 - 소프트웨어 도구를 이용한다.즉석에서 메모리 덤프 파일을 만들 수 있다.- DD - UNIX 도구- KntDD- MDD - open source- WIN32(64)DD - 윈도우- Fastdd3 - OS 크래시 덤프문제를 찾기위해 생성되는 덤프파일종류- 작은 메모리 덤프- 커널 메모리 덤프- 전체 메모리 덤프4 - 하이버네이션 파일이용 가상 메모리물리적인 실체를 가지고 있지 않은 메모리를 말하..

For3nsic/The Art of Memory Forensic 2015. 11. 14. 00:55

수집할 증거의 우선 순위를 정하는 것이 좋다.그러나 휘발성이 강한 것부터 수집하는 것이 좋을 듯하다. 휘발성 순서1 - CPU, 캐시 및 레지스터 데이터2 - 라우팅 테이블, ARP 캐시, 프로세스 테이블, 커널 통계3 - 메모리4 - 임시 파일 시스템 / 스웝 공간5 - 하드 디스크에 있는 데이터6 - 원격에 있는 로그 데이터7 - 아카이브 매체에 있는 데이터 RAM에 있는 증거휘발성 메모리(RAM)에는 현재 실행 중인 프로세스, 실행된 콘솔 명령어, 암호화되지 않은 비밀번호, 암호화되지 않은 데이터, 메신저 내용, IP주소, 악성코드 등 중요한 증거가 저장되어 있을수 있다.

For3nsic/The Art of Memory Forensic 2015. 11. 10. 22:36