메모리 포렌식: 물리 메모리에 존재하는 모든 흔적을 확인할 수 있다.
- 프로세스 정보
- 네트워크 연결정보
- 악성코드 파일 정보
-...
실행 당시의 악성코드 행위 분석을 위해 다양한 지식 필요
- 리버스 엔지리어닝, 악성코드분석, 운영체제. 웹, 하드웨어....
디지털 포렌식이란?
디지털 데이터를 근거로 삼아 해당 디지털 기기를 매개체로 하여 발생한 특정 행위의 사실 관계를 법정에서 규명하기 위한 절차와 방법
진정성, 무결성, 정당성, 동일성, 신뢰성이 필요하다.
메모리 포렌식이란?
컴퓨터 하드웨어 중 주기억장치에 존재하는 휘발성 데이터를 덤프 분석
폰 노이만식 구조 - 주기억장치의 역할 : cpu, 메모리, 프로그램 구조를 갖는 범용 컴퓨터 구
장점 : ram은 시스템이 활성화돼 있는 동안 시스템 런타임 상태의 중요 정보를 포함하고 있다. 언패킹, 루트킷 탐지, 리버스 엔지니어링 등에 도움
단점 : 휘발성 데이터로 전원 차단 시 데이터가 사라지고 온전한 데이터 수집이 어렵다.
메모리 덤프 : 물리 메모리에 존재하는 모든 흔적을 확인할 수 있다.
하드웨어 메모리 덤프 방식 : Tribble - PCI장치를 이용한 덤프
: FireWire Attack - FireWire를 이용한 덤프
소프트웨어 메모리 덤프 방식 : win 32/64 dd
: Memorize, 절전 덤프, 크래시 덤프 ....
운영체제
- 시스템 하드웨어를 관리할 뿐만 아니라 응용 소프트웨어를 실행하기 위하여 하드웨어 추상화 플랫폼과 공통 시스템 서비스를 제공하는 시스템 소프트웨어
윈도우 아키텍쳐
DLL 파일 : 유저 어플리케이션에 여러가지 필요한 것들을 제공
PE 구조 : 이동 가능하면서도 실행할 수 있는 프로그램을 만들기 위해 제작// exe 파일은 dll 이라는 라이브러리를 필요로 함. 이 라이브러리를 제공해주는 거이 윈도우 서브 시스템. 이 서브 시스템이 유저 어플리케이션에서 exe파일을 동작하기 위해 데이터를 제공하고 하드웨어 사용을 도와줌
PE구조 : 파일이 이식 가능한 다른 곳에 옮겨져도 실행가능하도록 만든 포맷
링크를 통해서 exe 파일이 만들어지고 footer나 PE 헤더가 붙음으로써 실행파일 로딩시 pe 헤더 정보를 토대로 dll을로드, 메모리에 적재될 각종 리소스를 할당하는 PE 헤더 정보를 정확하게 exe파일로 덤프
DOS 헤더 시그니처 : e000000000