1. Intro
Windows 환경에서의 메모리 포렌식 절차를 간단하게 살펴보자.
이 문서에서의 메모리 포렌식은 mdd를 사용하여 뜬 이미지를 volatility 프로그램을 사용하여 분석한 것을 바탕으로 작성되었다.
따라서 분석 이미지의 OS는 Windows XP이며 32bit이다.
2. Procedure
- Network connection이 있는 process 검색 ⓥconnections, connscan
connections : 활성화 상태의 Network 상태 확인
connscan : 종료된 연결까지 포함한 Network 상태 확인 - 의심가는 process의 목적지 IP 조회
https://www.whois.com/whois/IP - 해당 process의 상세 정보 확인 ⓥpsscan, pstree
PPID 및 Thds, Hnds를 통한 실행 상태 확인
해당 process의 기능, 역할 확인 – 인터넷 검색, 사전 지식 - 실행 경로 및 옵션 확인 ⓥdlllist
해당 process의 실행 경로 및 옵션을 확인하여 정상 여부 확인
옵션의 경우 인터넷 검색을 통해 해당 기능이 network connection을 필요로 하는지 확인 - 해당 process를 dump 떠서 VirusTotal에서 확인
이미 발견된 signature의 경우 검색이 되지만 처음 발견되었을 경우 나오지 않을 수 있다.
https://www.virustotal.com - 해당 process가 의심이 간다고 생각이 될 경우 PE 파일 분석으로 넘어간다.
IF Network connection을 통해 의심가는 process를 추출할 수 없다면)
모든 process를 dump 떠서 개별 파일에 대해서 일일이 분석해야한다.
3. Comments
메모리 분석의 경우 의심가는 process를 목록화하는 정도까지만 하고
그 process에 대한 상세 분석은 해당 process를 dump하여 파일 분석으로 넘어간다.