메모리분석 (volatility도구 활용)

메모리에는 사용자의 작업을 처리하기 위한 데이터나 처리결과등이 저장되어있고

전원이 종료되면 데이터가 사라지는 휘발성 데이터이다.

 

프로세스정보, 인자, 실행화면, 실행한 다음 결과
ip정보, 데이터 정보, 열어본문서, 문서가 열린 실행 프로그램
열린화면, 수정한 데이터, 암호화된 데이터 복호화 키, 복호화데이터 등 다양한 정보가 저장됨.

 

 

volatility툴을 활용하여 메모리 이미지를 분석할 수 있다.

 

pstree - 실행중인 프로세스를 트리형태로 출력해준다.  프로세스 호출구조를 보고 pslist보다 이상한 행위를 알아차리기쉽다. 프로세스 링크를 조작하는 방식으로 프로세스 은닉가능.

 

 

PSSCAN 플러그인은 프로세스 구조체를 전부 검사하므로 DKOM기법이 먹히지않음 리스트가 끊긴것들도 검사가능. 속도는 느림. 잘못된 정보가 생길수도있다. PSLIST에 없던것이 나타날수도있음.