정보보안

침해사고 포렌식 메모리 분석

 

 

1. 볼라티리티 도움말 확인

vol.py --help 
vol.py --help > help.txt

2. 운영체제 이미지 정보 확인

vol.py -f memdump.vmem imageinfo


3. 프로세스 정보 확인

vol.py -f memdump.vmem --profile=Win7SP1x64 pstree
vol.py -f memdump.vmem --profile=Win7SP1x64 pstree > pstree.txt

vol.py -f memdump.vmem --profile=Win7SP1x64 psscan
vol.py -f memdump.vmem --profile=Win7SP1x64 psscan > psscan.txt

vol.py -f memdump.vmem --profile=Win7SP1x64 pslist
vol.py -f memdump.vmem --profile=Win7SP1x64 pslist > pslist.txt


4. 네트워크 정보 확인

vol.py -f memdump.vmem --profile=Win7SP1x64 netscan
vol.py -f memdump.vmem --profile=Win7SP1x64 netscan > netscan.txt


5. 명령어 정보 확인

vol.py -f memdump.vmem --profile=Win7SP1x64 cmdscan
vol.py -f memdump.vmem --profile=Win7SP1x64 cmdscan > cmdscan.txt


6. IE 정보 확인

vol.py -f memdump.vmem --profile=Win7SP1x64 iehistory 
vol.py -f memdump.vmem --profile=Win7SP1x64 iehistory > iehistory.txt


6. MFT 파서(메타 정보가 저장되어 있음)

vol.py -f memdump.vmem --profile=Win7SP1x64 mftparser
vol.py -f memdump.vmem --profile=Win7SP1x64 mftparser > mftparser.txt


7. 프로세스에 대한 메모리 덤프

 - SkypeC2AutoUpd 프로세스 메모리 덤프 실시

vol.py -f memdump.vmem --profile=Win7SP1x64 memdump -p 1364 -D ./

strings 1364.dmp > 1364.txt



8. 파일 추출

vol.py -f memdump.vmem --profile=Win7SP1x64 filescan > file.txt

vol.py -f memdump.vmem --profile=Win7SP1x64 filescan | findstr "png"
vol.py -f memdump.vmem --profile=Win7SP1x64 filescan | findstr "png" > png.txt

vol.py -f memdump.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007d40f400 -D ./

AccessData FTK Imager 도구 사용
-> 이미지 생성 및 메모리 덤프