Information Security

Memory Forensic procedure on Windows

1. Intro

Windows 환경에서의 메모리 포렌식 절차를 간단하게 살펴보자.
이 문서에서의 메모리 포렌식은 mdd를 사용하여 뜬 이미지를 volatility 프로그램을 사용하여 분석한 것을 바탕으로 작성되었다.
따라서 분석 이미지의 OS는 Windows XP이며 32bit이다.

 

2. Procedure

  1. Network connection이 있는 process 검색 ⓥconnections, connscan
    connections : 활성화 상태의 Network 상태 확인
    connscan : 종료된 연결까지 포함한 Network 상태 확인
  2. 의심가는 process의 목적지 IP 조회
    https://www.whois.com/whois/IP
  3. 해당 process의 상세 정보 확인 ⓥpsscan, pstree
    PPID 및 Thds, Hnds를 통한 실행 상태 확인
    해당 process의 기능, 역할 확인 – 인터넷 검색, 사전 지식
  4. 실행 경로 및 옵션 확인 ⓥdlllist
    해당 process의 실행 경로 및 옵션을 확인하여 정상 여부 확인
    옵션의 경우 인터넷 검색을 통해 해당 기능이 network connection을 필요로 하는지 확인
  5. 해당 process를 dump 떠서 VirusTotal에서 확인
    이미 발견된 signature의 경우 검색이 되지만 처음 발견되었을 경우 나오지 않을 수 있다.
    https://www.virustotal.com
  6. 해당 process가 의심이 간다고 생각이 될 경우 PE 파일 분석으로 넘어간다.

IF Network connection을 통해 의심가는 process를 추출할 수 없다면)
모든 process를 dump 떠서 개별 파일에 대해서 일일이 분석해야한다.

 

3. Comments

메모리 분석의 경우 의심가는 process를 목록화하는 정도까지만 하고
그 process에 대한 상세 분석은 해당 process를 dump하여 파일 분석으로 넘어간다.

Back To Top