2. Volatility 정리

Volatility

- 메모리 포렌식 도구. 오픈소스. CLI 인터페이스 제공

- Volatility에서 증거를 획득할 수 있는 이유 : 메모리 내의 프로세스 분석

 

Volatility 명령어 정리

운영체제 식별

- imageinfo : 메모리 덤프의 운영체제 식별

 

프로세스 검색

- pslist : 시간 순서대로 보여줌

- psscan : 숨겨진 프로세스 출력 가능

- pstree : PID, PPID 기준으로 구조화하여 보여준다.

- psxview : pslist, psscan을 포함한 도구들의 결과를 한 눈에 볼 수 있다.

 

네트워크 분석

- netscan : Windows 7이상에서 동작.

TCP, UDP 프로토콜로 이루어지는 통신 조회

IPv4, IPv6 지원

* Listening : socket을 열고 있는 상태

* Established : socket이 열려서 통신 중인 상태* Closed : socket이 닫힌 상태

* Local Address : 분석하고 있는 PC의 Local Address ex) 10.1.1.20

* Local Address 중 127.0.0.1 : 특수한 IP. 루프백 IP. 자기 자신과 통신. (주의 X)

* Foreign Address : 분석하고 있는 컴퓨터와 통신하고 있는 원격 IP

* State : 연결 상태

- Connections : Windows 7 미만에서 사용

현재 연결된 TCP 통신에 대한 정보 (Established 상태만 출력)

- Sockets : Windows 7 미만

TCP, UDP를 포함한 모든 프로토콜 출력

Established뿐만 아니라 Listening 상태에 있는 소켓 출력

 

CMD 분석

- cmdscan, consoles : 콘솔에 입력한 값들을 볼 수 있다.

* consoles : 출력값도 볼 수 있다.

* cmdscan, consoles의 검색 방식이 다르기 때문에 두 개 다 사용

- cmdline : 프로세스가 실행될 때의 인자값을 확인할 수 있다.

 

파일 분석 및 덤프 (의심되는 프로세스를 분석할 때 사용)

- filescan : 메모리 내에 존재하는 모든 파일들의 리스트 출력 (offset 사용)

- dumpfiles : 파일을 덤프. 옵션으로 메모리 주소, 프로세스를 줄 수 있다. (offset, PID 옵션)

* dumpfiles -p PID : 사용하면 해당하는 프로세스가 사용하는 모든 파일을 출력할 수 있다.

 

프로세스 세부 분석

- memdump : 전체 메모리 영역 중에서 특정 프로세스의 메모리 영역을 덤프 -> strings (의미있는 문자열 뽑기) 사용

- procdump : 프로세스의 실행 파일 추출

 

악성 프로그램 식별

- virustotal

- Windows Defender (기본 백신 프로그램)