메모리3

• 

  메모리 포렌식에서 volatility 를 사용하면서 ... :) 메모리 포렌식에 빠져서 요즘 공부하다가 volatility를 사용하는 도중 의문이 들었다. 의문이라기 보단 잘 보지 않아 생긴 문제이지만 ... 먼저 imageinfo 를 하여 메모리덤프의 프로파일을 확인 할수있다...여기서 의문이 들었는데 ........ 두둥 !!! BoB.vmem 파일의 프로파일은 windows XPSP2x86과 XPSP3x86 2개가 나온다... 물론 아는 사람도 있다. 어떻게 서비스팩을 찾아내는지... 눈이있다면 안다... 난 눈이없었다.그래서 명령어를 통해서 알아 봤다. 어떻게? dlllist | grep xpsp2 For3nsic/The Art of Memory Forensic 2017. 1. 10.

• 메모리 분석 전 알아야 할 사항들 메모리 덤프 파일이란?메모리 내영이 가장 순수한 메모리 덤프파일을 시스템으로 부터 얻는 것을 말한다. 이를 얻기 위한 방법이 있다1 - 하드웨어를 이용하드웨어를 이용하면 메모리영역을 사용하지 않아 좀 더 정확한 메모리 덤프를 할수 있다. 뿐만 아니라 OS에 상관없이 사용 가능하다.- PCI장치- FireWire2 - 소프트웨어 도구를 이용한다.즉석에서 메모리 덤프 파일을 만들 수 있다.- DD - UNIX 도구- KntDD- MDD - open source- WIN32(64)DD - 윈도우- Fastdd3 - OS 크래시 덤프문제를 찾기위해 생성되는 덤프파일종류- 작은 메모리 덤프- 커널 메모리 덤프- 전체 메모리 덤프4 - 하이버네이션 파일이용 가상 메모리물리적인 실체를 가지고 있지 않은 메모리를 말하.. For3nsic/The Art of Memory Forensic 2015. 11. 14.

• memory 영역 memory code 영역- 코드를 구성하는 memory 영역으로 hex file or bin fire memory- program 명령이 위치하는 곳으로 기계어로 제어되는 메모리 영역이다. data 영역- 전역변수, 정적변수, 배열, 구조체 등이 저장되어 있다. * 초기화 된 데이터는 data 영역에 저장되고 초기화 되지 않은 데이터는 bss(block stated symbol)에 저장된다. - 프로그램이 실행 될 때 생성되어 프로그램 종료 시 까지 존재한다. - 함수 내부에 선언된 static 변수는 프로그램이 실행 될 때 공간만 할당되고, 함수가 실행 될 때 초기화 된다. heap 영역- 필요에 따라 동적으로 메모리를 할당 하고자 할 때 위치하는 메모리 영역으로 동적 데이터 영역이라고 부르며, 메모.. Security Study/System 2015. 10. 7.