swuforce

[인프런]기초부터 따라하는 디지털 포렌식 개론 섹션 3 -1,2,3강

범호야 2024. 11. 5. 23:27

Window Termimal 사용법

  • pwd - 현재 디렉토리의 경로를 조회할 수 있는 명령어 
  • ls - 현재 디렉토리의 내용을 보여주는 명령어 
  • dir - 디렉토리
  • cd - 디렉토리 이동할 수 있는 명령어
  • ..\ - 상위 디렉토리 
  • rm - 파일 삭제 
  • > - 결과를 파일로 저장 (리다이렉션)
  • clear - 터미널에 입력한 명령어와 내용이 없어짐
  • mkdir - 폴더 생성 

cd 명령어 사용 예시
mkdir 사용 예시


Volatility

- 메모리 포렌식 도구 

- Volatility에서 메모리에 남아있는 증거를 획득할 수 있는 이유 : 메모리는 프로세스가 사용하는 공간으로 규칙적인 구조체가 메모리 안에 존재하는 경우 Volatility가 잘라내어 가져와서 보여줄 수 있다. 

Volatility 명령어 

imageinfo

  • pslist  - 시간 순 나열 [ 악성 프로세스의 선후 관계를 파악하는 데에 유용하다]
  • cmdscan - cmd에서 실행한 명령어를 조회[cmd를 통해 공격자가 수행한 명령을 볼 수 있다]
  • consoles - 전체 screen buffer를 스캔하여, input과 output을 모두 얻을 수 있다. 
  • cmdline - command-argument를 포로세스기준으로 조회한다.
  • filescan - 메모리 내에 존재하는 모든 파일에 대한 정보를 볼 수 있다. 
  • dumpfiles - 프로세스 메모리 덤프르르 추출하여 strings로 변환해서 키워드 검색을 할 수 있다. 
  • memdump - 프로세스의 메모리 부분을 덤프해서 가져온다. 
  • procdump - 프로세스의 exe 파일을 추출한다. 
  • psscan - offset순서로 나열[숨겨진 파일을 가져올 수 있다]
  • pstree - PID, PPID를 기준으로 트리 형태로 보여준다 [악성 프로세스 간의 부모 - 자식 관계를 파악할 수 있어 전반적인 흐름을 파악하는 데에 유리하다]
  • psxview - pslist와 psscan 의 값을 한꺼번에 보여준다

실행 예시 

다음과 같은 명령어를 입력하면 

volatility_2.6_win64_standalone.exe -f .\cridex.vmem --profile=WinXPSP2x86 filescan > filescan.log

filesca.log라는 파일에 cridex.vmem을 filescan한 내용이 저장된다. 

 

이러한 방식으로 다른 명령어들도 입력하게 되면

파일들이 생성이 된다.

파일들을 열 때는 notepad++를 이용한다. 

콘솔창에 만든 파일들이 열려있는 것을 확인할 수 있다. 

 

이 부분에서 explorer.exe과 reader_sl.exe라는 파일이 수상하므로 이 부분을 집중적으로 조사해보자.

connections.log파일에서 IP 주소를 검색하면 string_1640.log 파일에서 IP주소를 찾을 수 있다. 

IP주소가 나온 내용을 알아보면 해당 사이트가 해커의 웹사이트 주소로 추정된다.

 

 

[출처]

https://www.inflearn.com/course/lecture?courseSlug=%EA%B8%B0%EC%B4%88-%EB%94%94%EC%A7%80%ED%84%B8-%ED%8F%AC%EB%A0%8C%EC%8B%9D&unitId=105980&tab=script&subtitleLanguage=ko

 

학습 페이지

 

www.inflearn.com