Page info
- Page type : Background knowledge
- Knowledge location : 3. Windows System Analysis >> Memory Analysis
- Other Reference : http://portable-forensics.com/document.html
- PFP & Manual downLoad : http://portable-forensics.com/download.html
메모리 분석(Memory Analysis)
 |
| Image from www.nikgupta.net |
결국, 컴퓨터가 동작 중인 상황에서 물리메모리의 전체 내용을 수집 한다면 당시의 시스템의 동작 상황과 목적을 거의 빠짐없이 파악할 수 있게 된다.
※ 물리메모리 수집관련 내용 참고 : 물리 메모리 수집(Physical Memory Acquisition)
본 페이지와 함께 이어지는 하위 페이지들에서는 윈도우 시스템에서 물리 메모리를 수집한 경우, 얻을 수 있는 정보와 분석 방법에 관하여 짚어볼 것이다.
실제로, 물리 메모리는 주기억 장치로서의 역할을 수행하기 위해 운영체제보다는 중앙 처리장치에 그 특징이 기인하기도 한다. 따라서 주기억 장치에 대한 분석을 골자로하여 통합적인 분석 방법론이 정립되는 것이 옳기도 하다. 볼라틸리티 프로젝트는 이와 같은 목적에서 진행되는 분석 프레임워크 제작 프로젝트로, 물리메모리 덤프의 내용을 매우 정밀하게 분석할 수 있는 도구를 무료로 제공하고 있다.
PFP 프로젝트는 사용자들에게 더욱 필요한 기술을 우선적으로 개발하기 위해, 물리메모리 분석에 관한 내용은 볼라틸리티 프레임워크와 연계하여 제공하고자 한다.
분석 요소(Analysis factors)
.
- 초기 대응 관련 내역 추출(First response related)
초기 대응 시점에 가장 중요한 것은 휘발성 데이터가 사라지기전에 빠르게 내용을 수집하는 것이다. 이 때, 물리메모리의 수집이 선행되는 경우가 많은데, 이는 여러가지 활성 상태의 조사가 수행되면서 물리메모리가 오염될 여지가 있기 때문에 이를 보호하고자 하는 목적 때문이다.
그리고 더욱 중요한 것은, 물리메모리에 관한 연구가 깊이있게 진행되면서 명령어를 통해 수집하던 휘발성 데이터의 내용을 전부 메모리에서 추출해낼 수 있다는 것이다. 이 때문에 물리 메모리 덤프와 디스크 이미지의 수집 만으로도 현장에서 해야할 일은 더 이상 없다고 보아도 과언은 아니다.
(물론, 더욱 효율적인 조사를 위해 명령어를 통한 휘발성 데이터 수집과 비 휘발성 데이터의 선별 수집도 여전히 현장에서 이루어지고 있는 것이 현실이긴 하다.)
. - 악성 행위 탐지(Malicious act detect)
물리 메모리를 전체적으로 살피다 보면, 악성프로그램이 악성 행위를 위하여 의도적으로 메모리를 조작한 내역을 파악할 수 있다. 대부분의 은닉, 변조 등의 시스템 기만 행위는 시스템 API의 동작과정을 교묘하게 이용하여 이루어지기 때문에, API를 통해 기만 사실을 파악한다는 것은 현실적으로 어렵다고 보아야 한다.
하지만, 메모리의 구조를 미리 조사하여 운영체제에서 사용하는 오브젝트의 형상을 잘 알고 있다면 이에 대한 변조, 은닉 등에 관한 내용을 정확하게 분석할 수 있게 된다.
침해사고 조사과정에서 메모리의 수집 목적은 사실 상 악성행위에 관한 정밀한 조사 때문이라는 것을 기억하자.
. - 추가 정밀 조사(Detailed analysis)
메모리는 사실상 우리가 컴퓨터 시스템을 통해 사용하는 모든 데이터가 반드시 거쳐야 하는 영역이다. 이에 따라 시스템 분석을 위한 아티팩트 역시 메모리상에 로드되어 사용되다가 수집 시점에 같이 수집되는 경우가 더러 있다. 또한 레지스트리와 같이 운영체제가 지속적으로 사용하는 데이터는 반드시 수집된 메모리 상에 존재하게 된다.
이와 같은 내용 역시 정확한 분석 결과를 가져오는 경우는 드물지만, 발견된다면 조사에 도움이 될 가능성이 크기 때문에 꼭 살펴 보도록 하자.
.
댓글 없음:
댓글 쓰기
질문이나 조언은 언제든 환영입니다.
악의적 댓글이나 무조건적인 비방은 삼가주세요.