[Memory Forensic Volatility 와 악성코드 분석] ~8/8 강의 정리본

[MFT분석실습간단리뷰]

 

MBR->BR(Boot Record)->start of MFT->파일

 

Step 1  MBR로부터 해당 파티션의 부트로더 검색

-해당 파티션은 0*3F(63) 섹터부터 시작

 

Step 2 부트섹터에서 각 테이블 조사

8개의 섹터=1클러스터

63섹터 = 시작 섹터

하나의 MFT엔트리는 = 2 섹터크기 지님

Step 3 MFT엔트리 27번째부터 일반적인 파일에 대한 엔트리들이 등장

Step 4 MFT의 20번째 있는 두 바이트는 속성의 첫 값의 위치를 가리킴

---

[MFT분석실습]

 

컨트롤러:IDE 부분의 오른쪽을 클릭하여 새 디스크 만들기

 

강의처럼 sample2 라고 했다가 생성할 수 없다는 문구가 떠서

아래와 같은 화면으로 진행하였다.

 

음

왼쪽 사진_ 강의처럼 저기 저장소 트리에 생겨야하는데 내 껀 ..오른쪽 화면처럼 뜬다 .. 생성이 전혀 되지 않고 이

 

그렇게 실습이 진행되는데 준비조건드 맞추고 010 에디터 들어가서 또 맞춘다

*여기서 중요한건 로지컬드라이브가 아닌 피지컬 드라이브로 열어주어야 한다

 로지컬드라이브_ 바로 NTFS만 보이고 MBR은 보이지 않음 왜냐? BS를 거치지 않아서

 

 

이게 시그니처임

 

---

[Volatility]_1)볼라틸리티 개요

-볼라틸리티 정의

•메모리 분석을 위한 대표적인 프레임워크 도구
• 메모리 파일(덤프 파일)에서 휘발성 정보를 획득하기 위해 포렌식 분석에서 활용
• 윈도우 환경, 유닉스(리눅스)환경, MAC OS 환경 등 크로스 실행 가능
• 32비트/64비트 윈도우즈XP, 윈도우즈 2003, 윈도우즈 비스타(Vista), 윈도우즈 7 계열
등 모든 메모리 분석 지원이 되며, 리눅스, 안드로이드, MAC OS 환경 프로파일도 포함
• 단일 명령 콘솔 모드(Single-command line)과 인터랙티브 명령 콘솔(Interactive volshell) 지원

 

왜 볼라틸리티로 사용할까 ? WHY???!!

• 하나의 응집된 프레임워크
• GPLv2 오픈 소스<-파이썬으로 작성되어있음
• 윈도우, 리눅스, 맥 분석 시스템에서 실행
• 확장 및 스크립트가 가능한 애플리케이션 프로그래밍 인터페이스
• 광범위한 파일 형식 지원 /  빠르고 효과적인 알고리즘 / 강력한 커뮤니티
• 포렌식, 사고 대응, 악성코드 중점

 

 

볼라틸리티에서 지원되지 않는 것
->메모리 수집도구 X/ GUI X/  버그 존재

 

칼리리눅스, Remnux 등 라이브 운영체제에 포함

위키 페이지 : https://github.com/volatilityfoundation
- 볼라틸리티 기본 명령어, 플러그인 예제 활용 사례, 샘플 제공 등

링크 접속 후 Wiki클릭-> 메모리 샘플 확인 가능 (ex Malware blackEnergy)

---

[Volatility]_2)볼라틸리티 구조

 

 

Vtypes 구조체

- 볼라틸리티의 구조 정의 및 구문분석 언어

- 파이썬 소스파일에서 C언어 자료구조를 나타낼 방법

 

 

 

 

 

우선 칼리 다운로드 받아야함 .. (칼리 리눅스!!)    ~ /강의에선 2016.1 버전다운로드 진행

 

 

;

 메모리를 덤프한거라 용량 큼

화면은 be2 다운로드 받는 것임

 ;

 

 

 

 

 

 

 

 

 

 

 

이런 식으로 명령어들 검