Gflow

Digital Forensic/Memmory-Forensic (3)

Memory Analysis[3]

Digital Forensic/Memmory-Forensic Gflow 2018. 2. 5. 13:51

본 포스팅에서는 메모리 분석에 대해서 다룹니다. (윈도우의 기본 사용법등과 같은 기초 지식은 본 포스팅에서 다루지 않습니다.) 이번 포스팅에서는 이어서 Volatility에서 지원하는 유용한 옵션에 대해서 알아 보겠습니다. 1. mftparsermftparser는 메모리 덤프 당시의 mft파일을 추출 해줍니다.(MFT는 NTFS 파일 시스템에서 파일의 메타데이터를 저장 하는 파일입니다.) 커맨드 사용형태는 아래와 같습니다. >vol.py -f [메모리파일] --profile=[운영체제] mftparser(MFT의 내용이 많기 때문에 리다이렉션을 통해 파일로 저장합니다.ex : mftparser >>mft.csv) [그림-1 mftparser] [그림-2 mftparser 출력 결과 csv파일 열람 화면]..

Memory Analysis[2]

Digital Forensic/Memmory-Forensic Gflow 2018. 1. 22. 12:43

본 포스팅에서는 메모리 분석에 대해서 다룹니다.(윈도우의 기본 사용법등과 같은 기초 지식은 본 포스팅에서 다루지 않습니다.) 이번 포스팅에서는 Volatility사용 법에 대해서 알아보도록 하겠습니다. Volatility 도구는 Python기반으로 작성된 오픈소스 도구입니다. 누구나 무료로 다운받아 사용할 수 있습니다. 메모리상에는 많은 정보들이 저장되어 있기 때문에 침해 사고 발생시 메모리 덤프를 확보를 한다면 분석시간을 단축 시킬 수 있습니다. 그렇기 때문에 우리는 이번 본 포스팅에서 Volatility를 이용한 메모리 분석에 대해서 알아 보겠습니다. 1. ImageinfoImageinfo는 메모리에 대한 정보를 불러오는 명령어 입니다. 메모리덤프에 대한 메타데이터 정보를 출력해주는 명령으로써, 덤프..

Memroy Analysis[1]

Digital Forensic/Memmory-Forensic Gflow 2018. 1. 8. 16:21

본 포스팅에서는 메모리 분석에 대해서 다룹니다.(윈도우의 기본 사용법등과 같은 기초 지식은 본 포스팅에서 다루지 않습니다.) 1. 메모리포렌식사용자가 시스템을 사용하면서 메모리상 남는 데이터를 분석 하는 행위를 메모리포렌식 이라고 합니다. 아직 우리나라에서는 법정에서 증거로 채택되지는 않지만 침해사고와 같은 사건사고에서는 많은 정보를 얻을 수 있는 분야입니다. 메모리포렌식을 통해 얻을 수 있는 정보는 프로세스 상태, 네트워크 정보, 메모리에 저장된 파일복구, 디코딩 된 데이터, 사용자 행위 정보등을 얻을 수 있습니다. 이번 포스팅에서는 메모리 덤프 방법과 메모리를 분석하기 위한 분석환경 구성에 대해서 알아 보겠습니다. 1)메모리 덤프우선 메모리 포렌식의 가장 기초가 되는 메모리 덤프 방법에 대해서 알아 ..

Copyright © Gflow All Rights Reserved

티스토리툴바