Window Termimal 사용법
- pwd - 현재 디렉토리의 경로를 조회할 수 있는 명령어
- ls - 현재 디렉토리의 내용을 보여주는 명령어
- dir - 디렉토리
- cd - 디렉토리 이동할 수 있는 명령어
- ..\ - 상위 디렉토리
- rm - 파일 삭제
- > - 결과를 파일로 저장 (리다이렉션)
- clear - 터미널에 입력한 명령어와 내용이 없어짐
- mkdir - 폴더 생성
Volatility
- 메모리 포렌식 도구
- Volatility에서 메모리에 남아있는 증거를 획득할 수 있는 이유 : 메모리는 프로세스가 사용하는 공간으로 규칙적인 구조체가 메모리 안에 존재하는 경우 Volatility가 잘라내어 가져와서 보여줄 수 있다.
Volatility 명령어
imageinfo
- pslist - 시간 순 나열 [ 악성 프로세스의 선후 관계를 파악하는 데에 유용하다]
- cmdscan - cmd에서 실행한 명령어를 조회[cmd를 통해 공격자가 수행한 명령을 볼 수 있다]
- consoles - 전체 screen buffer를 스캔하여, input과 output을 모두 얻을 수 있다.
- cmdline - command-argument를 포로세스기준으로 조회한다.
- filescan - 메모리 내에 존재하는 모든 파일에 대한 정보를 볼 수 있다.
- dumpfiles - 프로세스 메모리 덤프르르 추출하여 strings로 변환해서 키워드 검색을 할 수 있다.
- memdump - 프로세스의 메모리 부분을 덤프해서 가져온다.
- procdump - 프로세스의 exe 파일을 추출한다.
- psscan - offset순서로 나열[숨겨진 파일을 가져올 수 있다]
- pstree - PID, PPID를 기준으로 트리 형태로 보여준다 [악성 프로세스 간의 부모 - 자식 관계를 파악할 수 있어 전반적인 흐름을 파악하는 데에 유리하다]
- psxview - pslist와 psscan 의 값을 한꺼번에 보여준다
실행 예시
다음과 같은 명령어를 입력하면
volatility_2.6_win64_standalone.exe -f .\cridex.vmem --profile=WinXPSP2x86 filescan > filescan.log
filesca.log라는 파일에 cridex.vmem을 filescan한 내용이 저장된다.
이러한 방식으로 다른 명령어들도 입력하게 되면
파일들이 생성이 된다.
파일들을 열 때는 notepad++를 이용한다.
콘솔창에 만든 파일들이 열려있는 것을 확인할 수 있다.
이 부분에서 explorer.exe과 reader_sl.exe라는 파일이 수상하므로 이 부분을 집중적으로 조사해보자.
connections.log파일에서 IP 주소를 검색하면 string_1640.log 파일에서 IP주소를 찾을 수 있다.
IP주소가 나온 내용을 알아보면 해당 사이트가 해커의 웹사이트 주소로 추정된다.
[출처]
'swuforce' 카테고리의 다른 글
[디지털 포렌식 개론] 7장 디지털 증거 분석 기술 (2) | 2024.11.12 |
---|---|
[디지털 포렌식 개론] 8장 1~3절 (0) | 2024.11.06 |
[webhacking]old-54 문제풀이 (0) | 2024.11.04 |
[써니타스]14번 문제풀이 (2) | 2024.11.04 |
[EST SECURITY] 가짜 캡처 인증 페이지를 이용해 악성코드 실행을 유도하는 공격 주의! (4) | 2024.11.04 |