vmem파일 volatility로 분석해보기
먼저 windows 11 가상머신으로 실습을 진행하려고 했다.
가상머신을 suspend 하면 아래와 같이 vmem 파일이 생성된다.
해당 파일의 imageinfo를 출력해보려고 했는데
계속 이 화면 상태 그대로 아무것도 출력되지도 않고 넘어가지도 않았다
...
vmem 파일을 다시 추출해서 다시 imageinfo를 출력해봤다.
No suggestion...
프로파일도 출력이 안 됐다
그래서 windows 7 가상머신으로 다시 실습을 진행했다.
이번에도 가상머신을 suspend 한 다음
vmem 파일을 생성했다.
imageinfo
덤프파일의 이미지 정보를 분석할 수 있는 명령어
volatility ~ -f ~.vmem imageinfo
이번에는 정상적으로 출력이 됐다!
메모리 이미지가 생성된 날짜와 시간 등을 확인
메모리 파일의 운영체제 profile 확인 가능
Suggested Profile: Win7SP1x64
pstree
프로세스 트리 출력
volatility ~ -f ~.vmem --profile=~ pstree
프로세스들의 부모 자식간의 관계를 트리형식으로 보여줌
다른 외부에서 실행되고 있는 프로세스가 있다면 공격당하고 있음을 알 수 있다
psscan
종료되거나 은닉되어 있는 프로세스를 확인
volatility ~ -f ~.vmem --profile=~ psscan
아무것도 출력되지 않음
종료되었거나 은닉되어 있는 프로세스가 없음을 알 수 있음
netscan
활성화 상태의 네트워크 정보를 보여줌
volatility ~ -f ~.vmem --profile=~ netscan
LISTENING, CLOSED, ESTABLISHED 등의 상태 정보 확인 가능
이미지에서 connections와 socket을 확인할 수 있음
LISTENING: TCP 연결의 로컬 엔드포인트에서 원격 엔드포인트로부터의 연결 요청 수신
ESTABLISHED: TCP 핸드셰이크 완료 (연결 설정되어 데이터 전송 가능)
SYN_SENT: TCP 연결의 로컬 엔드포인트에서 원격 엔드포인트에 SYN 제어 비트 집합과 함께 세그먼트 헤더 전송, 연결 요청 대기
CLOSE_WAIT: TCP 연결의 로컬 엔드포인트에서 로컬 사용자로부터의 연결 종료 요청 대기
memdump
윈도우 가상 메모리를 덤프 파일로 추출
volatility ~ -f ~.vmem --profile=~ memdump -p [PID] -D [경로]
explorer.exe의 PID 1852를 이용하였음
strings를 이용하여 추출된 dmp 파일을 txt 파일로 변환
explorer.exe의 가상 메모리를 파일로 추출
handles -t Mutant
handles 플러그인으로 mutex 분석
handles: 프로세스에 의해 열린 핸들의 목록을 나타냄
Malware Mutex: 고유한 값이나 이름을 사용해서 하나만을 실행하도록 하는 것
volatility ~ -f ~.vmem --profile=~ handles -p [PID] -t Mutant
getsids
윈도우 사용자가 실행한 프로세스 목록 출력
volatility ~ -f ~.vmem --profile=~ getsids
Process와 관련된 Security ID를 보여줌
권한 상승과 같은 의심 부분을 확인 가능
너무 길게 출력돼서 sids.txt 파일로 따로 생성했다.
프로세스 목록을 확인할 수 있다.
아래 표를 참고하여 파일이 캡처된 부분 중 가장 마지막 줄
winnit.exe (404): S-1-1-0 (Everyone)
의 식별자 권한 값은 1 이다.
1 - 월드 권한(World Authority)
(모든 사용자를 포함함)
'Forensics' 카테고리의 다른 글
| [ctf-d] DefCoN#21 #1 (0) | 2022.08.10 |
|---|---|
| network_png (0) | 2022.08.09 |
| [ctf-d] GrrCON 2015 #10 (0) | 2022.08.05 |
| [ctf-d] GrrCON 2015 #9 (0) | 2022.08.05 |
| [ctf-d] GrrCON 2015 #8 (0) | 2022.08.04 |
