N0cT1s41

1. 메모리 포렌식 개념1.1 메모리 포렌식이란?메모리 포렌식은 컴퓨터의 RAM에 저장된 데이터를 수집하고 분석하여 사이버 범죄, 악성코드 침투, 정보 유출과 같은 디지털 사건을 조사하고 증거를 확보하는 디지털 포렌식 기법의 한 분야다. 일반적으로 디스크 포렌식이 디스크 상의 데이터를 분석하는 데 중점을 둔다면 메모리 포렌식은 휘발성 데이터 영역인 메모리의 데이터를 대상으로 한다. RAM은 컴퓨터의 작업 환경, 실행 중인 프로세스 정보, 네트워크 연결 정보, 암호화 키, 사용자 세션 정보 등 실시간 데이터를 보관하고 있어 기존 디스크 포렌식만으로 탐지하기 어려운 정보를 제공할 수 있다.최근 공격자들이 디스크 기반 증거를 남기지 않으려고 메모리상에만 머무르는 악성 행위를 늘려가면서 메모리 포렌식은 디지털 ..

해당 포스트에서는 Volatility Contest2018에서의 OlympicDestroyer 문제에 대한 분석입니다.이전편을 보고오시는 것을 추천드립니다.https://infosec-noh.tistory.com/16#comment15701002 OlympicDestroyer - Volatility Contest 2018 #1해당 포스트에서는 Volatility Contest2018에서의 OlympicDestroyer 문제에 대한 분석입니다. 0. 배경 1. 운영체제 식별 해당 파일을 다운로드하여 이미지의 정보를 확인 명령어:volatility_2.6_win64_standalone.exe -finfosec-noh.tistory.com이전 글에서  _xut.exe와 OlympicDestoryer가 악성 프..

해당 포스트에서는 Volatility Contest2018에서의 OlympicDestroyer 문제에 대한 분석입니다. 0. 배경1. 운영체제 식별 해당 파일을 다운로드하여 이미지의 정보를 확인명령어:volatility_2.6_win64_standalone.exe -f '.\Windows 7-1a1299dc.vmem' imageinfo2. 프로세스 확인위 imageinfo 사진에 Suggested Profile(s) 부분에 있는 운영체제 버전 중 아무거나 선택해서 프로세스에 대해 분석을 해보겠다.명령어:volatility_2.6_win64_standalone.exe -f '.\Windows 7-1a1299dc.vmem' --profile=Win7SP1x86 pslist > pslist.log pslist..

해당 포스트에서는 Volatility의 대한 정리입니다.1.Volatility메모리 포렌식 도구, 오픈소스, CLI 인터페이스버전 3까지 공개되어 있으나, 아직까지는 2를 많이 사용함2.Volatility 명령어 정리운영체제 식별imageinfo : 메모리 덤프의 운영체제를 식별프로세스 검색pslist: 시간 순서대로 보여줌psscan: 숨겨진 프로세스 출력 기능pstree: PID, PPID 기준으로 구조화하여 보여줌psxview: pslist, psscan을 포함한 도구들의 결과를 한 눈에 볼 수 있음네트워크 분석netscanWindows 7 이상TCP, UDP / IPv4, IPv6Listening, Established, Closed ConnectionsWindows 7 미만현재 연결된 TCP 통..