메모리 포렌식 volatility

volatility에 대해 알아보장.

출처:https://velog.io/@jjewqm/%EB%A9%94%EB%AA%A8%EB%A6%AC-%ED%8F%AC%EB%A0%8C%EC%8B%9D

volatility란?

volatility는 CLI 기반 메모리 분석 도구이다.

여러 옵션과 플러그인을 사용해 덤프한 메모리 파일을 분석할 수 있다.

설치 :https://www.volatilityfoundation.org/26

volatility를 사용해 

1. 프로세스 정보

2.네트워크 연결 정보

3.윈도우 레지스트리 정보

4.패스워드,캐시정보,클립보드 정보

5.악성코드 파일 정보

6.하드웨어 설정 정보

등을 알아낼 수 있다.

volatility 플러그인

운영체제 분석

 - imageinfo : 덤프 파일의 이미지 정보 분석

$vol.py -f [덤프 파일] imageinfo > info.txt

# > 명령어로 텍스트 파일로 저장할 수 있다.

프로세스 분석

- psscan : 실행 중인 프로세스/종료된 프로세스 정보 분석

$vol.py -f [덤프파일] --profile=Win7SP1x64 psscan > psscan.txt

# --profile은 덤프파일의 운영체제를 선택하는 옵션이다.

 - pstree : 프로세스의 부모/자식관계 분석

$vol.py -f [덤프파일] --profile=Win7SP1x64 pstree > pstree.txt

네트워크 분석

 - connections : 활성화 상태의 네트워크 연결 정보(윈도우 xp/vista)

$vol.py -f [덤프파일] --profile=WinXPSP1x86 connection > connection.txt

 - connscan : 활성화 상태의 네트워크 연결 정보나 이미 종료된 네트워크 연결 정보

$vol.py -f [덤프파일] --profile=Win7SP1x64 connscan > connscan.txt

 - netscan : 활성화 상태의 네트워크 연결 정보(윈도우7이상)

$vol.py -f [덤프파일] --profile=Win7SP1x64 netscan > netscan.txt

DLL,Thread 분석

 - ldrmodules : 은폐된 DLL 정보 분석

$vol.py -f [덤프파일] --profile=Win7SP1x64 ldrmodules > ldrmodules.txt

 - ddldump : 특정 프로세스에서 로드 한 DLL 추출

$vol.py -f [덤프파일] --profile=Win7SP1x64 dlldump -p [PID] -D ./

 - malfind : 사용자 모드 형태로 은폐되어 있거나 인젝션 된 코드 또는 DLL 정보 분석

$vol.py -f [덤프파일] --profile=Win7SP1x64 malfind -p [PID] > malfind.txt

파일 분석

 - filescan : 메모리에서 검색한 파일 복구

$vol.py -f [덤프파일] --profile=Win7SP1x64 filescan > filescan.txt

$vol.py -f [덤프파일] --profile=Win7SP1x64 filescan | findstr "jpg" > jpgscan.txt

# findstr 플러그인으로 원하는 문자열이 포함된 파일 검색

 - dumpfiles : 메모리에서 검색한 파일 복구

$vol.py -f [덤프파일] --profile=Win7SP1x64 dumpfiles -Q [복구할 파일의 메모리 주소] -D ./

# -D ./는 현재 디렉토리에 파일을 덤프하겠다는 의미. 필수 옵션.

 - memdump : 메모리에 존재하는 프로세스 복구

$vol.py -f [덤프파일] --profile=Win7SP1x64 memdump -p [PID] -D ./

커맨드 및 인터넷기록 분석

cmdscan : 명령 프롬포트로 실행된 정보 분석

$vol.py -f [덤프파일] --profile=Win7SP1x64 cmdscan > cmdscan.txt

 - consoles : 콘솔로 실행된 정보 분석

$vol.py -f [덤프파일] --profile=Win7SP1x64 consoles > consoles.txt

 - iehistory : 인터넷 접속 기록 분석

$vol.py -f [덤프파일] --profile=Win7SP1x64 iehistory > iehistory.txt

분석해보기

mac OS를 기준으로 설명하겠다.

설치 후 압축을 풀면 

memdump.vmem을 제외한 파일들이 존재한다.

vmem은 가상머신에서 추출한 덤프 파일이다.

imageinfo 플러그인으로 이미지 정보를 가져온다.

info.txt를 확인해보면

운영체제는 win7과 win2008 서버가 있다.

win7SP1을 확인하자.

먼저 pstree로 프로세스 목록을 확인한다.

./volatility_2.6_mac64_standalone -f memdump.vmem --profile=Win7SP1x64 pstree

명령어로 확인해보면

트리구조로 나온다.

이 중 PID가 1364인 SkypeC2AutoUpd 프로세스를 덤프해보자.

memdump 플러그인을 실행해보면 

1364.dmp 파일이 나왔다.

이 파일을 알아보기 위해서는 strings라는 명령어가 필요하다.

이번엔 파일을 추출해보자.

skype를 찾고

offset으로 파일을 복구해보자.

복구하면 파일2개가 생긴다.

그 중 .img를 .exe로 바꾸면 skype파일을 복구할수 있다.