[Memory Forensic Volatility 와 악성코드 분석] ~7/11 강의 정리본

[Memory Forensic Volatility 와 악성코드 분석]

---

 

*메모리 포렌식

-물리 메모리에 존재하는 모든 흔적을 확인 가능 

-컴퓨터 하드웨어 중 주기억장치(메모리)에 존재하는 휘발성 데이터를 덤프분석

 

ex:프로세스,네트워크 연결,윈도우 레지스터리,악성코드 파일 정보 ....

주기억장치 // 폰 노이만식 구조 (cpu< - > Ram< - >HDD)

 

 

*디지털 포렌식
- 디지털 데이터를 근거로 삼아 해당 디지털 기기를 매개체로 하여 발생한 특정 행위
의 사실 관계를 법정에서 규명하기 위한 절차와 방법  < 법정에서 규명하기 힘듦
- 기업에서 정보보호 도구로 사용하거나 기업의 위험관리, 정책 관련 도구로 사용

 

5가지 요소: 무결성,진정성,동일성,신뢰성,정당성

장점	단점
-RAM // 시스템이 활성화돼 있는 동안 시스템 런타임 상태의 중요 정보를 포함 - 언패킹, 루트킷 탐지, 리버스 엔지니어링 등 에 도움	- 휘발성 데이터로 전원 차단 시 데이터가 사라 짐 - 온전한 데이터 수집이 어려움

 

메모리 덤프 // 물리메모리에 존재하는 모든 흔적을 확인

 

메모리덤프방식=> 하드웨어, 소프트웨어

하드웨어 (무결성 good but 충돌 , 접근할 수 있는 주소 제한)	소프트웨어
•Tribble – PCI 장치를 이용한 덤프 • FireWire Attack – FireWire(IEEE 1394)를 이용한 덤프	• Win32/64dd • Memorize • FastDump Pro • 크래시 덤프(Windows) • 절전 덤프

(실습해야함 가상머신 설치가 안되는중) // 실습(5분) 들어야함

-> 강의에서 보이는 사이트와 다르게 나와 다운로드 못받는 중 

 

 

---

[윈도우 운영체제 개요와 PE구조]

 

운영체제: 시스템 하드웨어를 관리할 뿐 아니라 응용 소프트웨어를 실행하기 위하여 하드웨어 추상화 플랫폼과 공통 시스템 서비스를 제공하는 시스템 소프트웨어

ex) 윈도우,맥OSX,리눅스,유닉스

 

-exe파일은 PE파일구조

-실행부서비스를 통해 커널모드에서 수정가능

 PE구조 // 파일이 이식 가능한 다른 곳에 옮겨져도 실행 가능하도록 만든 포맷

(Portable, Executable,Format)

 

섹션헤더에서 버츄얼 메모리 확인 가능 

DOS 헤더 시그니쳐 매우중요// 리소스 중간에 PE 헤더 뜬금없이 있을 때 있음/ 리소스에 MZ 헤더를 통해 이상함을 알 수 있음 MZ=PE 가장 첫번 째  값!!!

 

*PEView로 Notepad PE 구조 확인실습 (30~34M)

 

---

디지털 포렌식 정의/5가지 요소설명/메모리포렌식