촉촉한초코칩

Volatility - 메모리 포렌식 도구. 오픈소스. CLI 인터페이스 제공 - Volatility에서 증거를 획득할 수 있는 이유 : 메모리 내의 프로세스 분석 Volatility 명령어 정리 운영체제 식별 - imageinfo : 메모리 덤프의 운영체제 식별 프로세스 검색 - pslist : 시간 순서대로 보여줌 - psscan : 숨겨진 프로세스 출력 가능 - pstree : PID, PPID 기준으로 구조화하여 보여준다. - psxview : pslist, psscan을 포함한 도구들의 결과를 한 눈에 볼 수 있다. 네트워크 분석 - netscan : Windows 7이상에서 동작. TCP, UDP 프로토콜로 이루어지는 통신 조회 IPv4, IPv6 지원 * Listening : socket을 ..

1) 이미지 식별 -> 운영체제 선택 (Win7SP1x86) 2) pslist, psscan, pstree, psxview, connections, cmdline, cmdscan, consoles.log 파일 생성 3) 의심스러운 파일 찾아내기 * pslist보다 pstree에서 PID와 PPID를 먼저 보는 것이 좋다. * 프로세스들 이름 검색해보기 * 의심스러운 프로세스 하위 프로세스도 의심해본다. 4) pslist에서 시간순서대로 의심스러운 프로세스나 명령어 보기 * 해커가 어디서부터 침투했는지 확인 TeamViewer.exe부터 확인 -> PID 값 확인 5) 의심스러운 프로세스 memdump cmdscan.log 파일에서 해커가 어떤 명령어를 실행했는지 확인한다. 봐야 할 것 1. outlook..

Volatility 도구 : 메모리 관련 데이터를 수집해주는 도구 1) volatility -f imageinfo -> volatility_2.6_win64_standalone.exe -f ./cridex.vmem imageinfo imageinfo : 메모리 덤프를 보고 volatility가 어떤 운영체제의 메모리 덤프인지 판단 어떤 운영체제인지에 대한 값이 앞으로의 모든 분석에서 사용된다. 모든 분석에 앞서서 imageinfo를 통해 메모리가 어떤 운영체제의 메모리인지 찾아야 한다. 2) pslist : 프로세스들의 리스트를 출력한다. -> 출력되는 내용을 pslist.log에 저장한다. 3) volatility에서 프로세스들을 볼 수 있는 도구 : psscan, pstree, psxview -> l..

보호되어 있는 글입니다.

보호되어 있는 글입니다.

보호되어 있는 글입니다.