티스토리 뷰

포렌식

메모리 포렌식 volatility

삼전동해커 2020. 9. 17. 22:58

volatility에 대해 알아보장.


출처:https://velog.io/@jjewqm/%EB%A9%94%EB%AA%A8%EB%A6%AC-%ED%8F%AC%EB%A0%8C%EC%8B%9D


volatility란?

volatility는 CLI 기반 메모리 분석 도구이다.
여러 옵션과 플러그인을 사용해 덤프한 메모리 파일을 분석할 수 있다.


volatility를 사용해 

1. 프로세스 정보
2.네트워크 연결 정보
3.윈도우 레지스트리 정보
4.패스워드,캐시정보,클립보드 정보
5.악성코드 파일 정보
6.하드웨어 설정 정보

등을 알아낼 수 있다.

volatility 플러그인

운영체제 분석
 - imageinfo : 덤프 파일의 이미지 정보 분석
$vol.py -f [덤프 파일] imageinfo > info.txt

# > 명령어로 텍스트 파일로 저장할 수 있다.


프로세스 분석

- psscan : 실행 중인 프로세스/종료된 프로세스 정보 분석

$vol.py -f [덤프파일] --profile=Win7SP1x64 psscan > psscan.txt


# --profile은 덤프파일의 운영체제를 선택하는 옵션이다.


 - pstree : 프로세스의 부모/자식관계 분석

$vol.py -f [덤프파일] --profile=Win7SP1x64 pstree > pstree.txt


네트워크 분석

 - connections : 활성화 상태의 네트워크 연결 정보(윈도우 xp/vista)

$vol.py -f [덤프파일] --profile=WinXPSP1x86 connection > connection.txt


 - connscan : 활성화 상태의 네트워크 연결 정보나 이미 종료된 네트워크 연결 정보

$vol.py -f [덤프파일] --profile=Win7SP1x64 connscan > connscan.txt


 - netscan : 활성화 상태의 네트워크 연결 정보(윈도우7이상)

$vol.py -f [덤프파일] --profile=Win7SP1x64 netscan > netscan.txt


DLL,Thread 분석

 - ldrmodules : 은폐된 DLL 정보 분석

$vol.py -f [덤프파일] --profile=Win7SP1x64 ldrmodules > ldrmodules.txt


 - ddldump : 특정 프로세스에서 로드 한 DLL 추출

$vol.py -f [덤프파일] --profile=Win7SP1x64 dlldump -p [PID] -D ./


 - malfind : 사용자 모드 형태로 은폐되어 있거나 인젝션 된 코드 또는 DLL 정보 분석

$vol.py -f [덤프파일] --profile=Win7SP1x64 malfind -p [PID] > malfind.txt


파일 분석

 - filescan : 메모리에서 검색한 파일 복구

$vol.py -f [덤프파일] --profile=Win7SP1x64 filescan > filescan.txt

$vol.py -f [덤프파일] --profile=Win7SP1x64 filescan | findstr "jpg" > jpgscan.txt


# findstr 플러그인으로 원하는 문자열이 포함된 파일 검색


 - dumpfiles : 메모리에서 검색한 파일 복구

$vol.py -f [덤프파일] --profile=Win7SP1x64 dumpfiles -Q [복구할 파일의 메모리 주소] -D ./


# -D ./는 현재 디렉토리에 파일을 덤프하겠다는 의미. 필수 옵션.


 - memdump : 메모리에 존재하는 프로세스 복구

$vol.py -f [덤프파일] --profile=Win7SP1x64 memdump -p [PID] -D ./


커맨드 및 인터넷기록 분석


cmdscan : 명령 프롬포트로 실행된 정보 분석

$vol.py -f [덤프파일] --profile=Win7SP1x64 cmdscan > cmdscan.txt


 - consoles : 콘솔로 실행된 정보 분석

$vol.py -f [덤프파일] --profile=Win7SP1x64 consoles > consoles.txt


 - iehistory : 인터넷 접속 기록 분석

$vol.py -f [덤프파일] --profile=Win7SP1x64 iehistory > iehistory.txt



분석해보기

mac OS를 기준으로 설명하겠다.



설치 후 압축을 풀면 


memdump.vmem을 제외한 파일들이 존재한다.

vmem은 가상머신에서 추출한 덤프 파일이다.


imageinfo 플러그인으로 이미지 정보를 가져온다.


info.txt를 확인해보면



운영체제는 win7과 win2008 서버가 있다.

win7SP1을 확인하자.


먼저 pstree로 프로세스 목록을 확인한다.


./volatility_2.6_mac64_standalone -f memdump.vmem --profile=Win7SP1x64 pstree


명령어로 확인해보면



트리구조로 나온다.


이 중 PID가 1364인 SkypeC2AutoUpd 프로세스를 덤프해보자.



memdump 플러그인을 실행해보면 



1364.dmp 파일이 나왔다.

이 파일을 알아보기 위해서는 strings라는 명령어가 필요하다.




이번엔 파일을 추출해보자.


skype를 찾고



offset으로 파일을 복구해보자.



복구하면 파일2개가 생긴다.

그 중 .img를 .exe로 바꾸면 skype파일을 복구할수 있다.


공지사항
최근에 올라온 글
최근에 달린 댓글
Total
Today
Yesterday
링크
«   2024/12   »
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31
글 보관함