도구 설치, 환경 설정, 문제 다운로드
# 침해사고 대응기법 중 메모리 포렌식 배울 것.
# 메모리 : 프로그램이 올라갈 수 있는 공간
# Volatility, Windows Terminal 설치
# 시스템 환경변수 설정
# Volatility Wiki - Memory Samples, CTF-d - GrrCON 2015 문제 다운로드
Volatility Cridex 풀이 (1)
# volatility -f <이미지>imageinfo
프로세스들의 리스트를 출력
# pslist : 시간 순서대로 출력
# psscan : 오프셋 순서대로 출력
- 숨김 프로세스를 볼 수 있음.
# pstree : PID, PPID 기반으로 구조화해서 출력
# psxview : pslist, psscan을 한 눈에 볼 수 있음.
# 의심스러운 프로세스들의 목록을 만들자!
# PDF 문서를 통한 악성코드는 흔한 케이스 중 하나임.
Volatility Cridex 풀이 (2)
# cmdline : 프로세스가 실행될 때 인자값
# consoles : 콘솔에서 입출력한 값들을 실제로 볼 수 있음.
# cmdscan : 콘솔에 입력한 값들을 실제로 볼 수 있음.
# filescan: 메모리 내에 존재하는 모든 파일에 대한 정보
- dumpfiles를 통해 reader_sl.exe 추출 -> virustotal에서 바이러스 검출하기
# connections : 연결된 TCP 통신 출력
# reader_sl.exe -> 취약점 -> URL 접속 -> 은행 관련 피싱
CTF-d, GrrCon 2015 풀이 (1)
# 포렌식을 하기 위해서는?
- 해킹 기법에 대한 이해
- 운영체제 전반에 대한 이해
- 컴퓨터적인 전공지식 필요
# connections : "현재 연결된" TCP 통신에 대한 정보
# sokets : 응답 받기를 기다리고 있는 모든 프로토콜에 대한 soket 정보
'내용정리' 카테고리의 다른 글
[인프런] 기초부터 따라하는 디지털포렌식_섹션 03. 윈도우 포렌식 깊게 들어가 보아요 (0) | 2023.05.09 |
---|---|
[FORENSIC-PROOF] 메모리 포렌식 (Memory Forensics) (0) | 2023.04.25 |
[인프런] 기초부터 따라하는 디지털포렌식_섹션 01. 디지털 포렌식 기초, Warm-up (0) | 2023.03.28 |
[인프런] 기초부터 따라하는 디지털포렌식_섹션 00. 디지털 포렌식 소개, 시작이 반이다 (0) | 2023.03.28 |
[인프런] 그림으로 쉽게 배우는 운영체제_섹션 09. 파일시스템 (0) | 2023.01.26 |